26.03.2015 Prot. n.° 1137/ C 52...2 e 21 comma 2 del citato Decreto Legislativo e all'analisi dei...

26.03.2015 Prot. n.° 1137/ C 52

DPS IISS “RE CAPRIATA” LICATA agg. 2015 Pagina 2 di 81

SCOPO E AMBITO DI APPLICAZIONE DEL DPS Il presente Documento Programmatico Sulla Sicurezza (definito anche DPS) è

adottato, ai sensi delle disposizioni di cui all'Art. 34 del Decreto Legislativo n. 196

del 30 giugno 2003 e relativo allegato B, per definire le politiche di sicurezza in

materia di trattamento di dati personali nonché i criteri tecnico-organizzativi per

la loro attuazione. Il documento, inoltre, fornisce idonee informazioni relative alla

tipologia di dati sensibili trattati secondo quanto previsto dagli artìcoli 20 comma

2 e 21 comma 2 del citato Decreto Legislativo e all'analisi dei rischi connessi

all'utilizzo degli strumenti mediante i quali viene effettuato il trattamento.

Gli allegati al presente documento costituiscono parte integrante del

Documento Programmatico Sulla Sicurezza dei dati.

Nel presente documento e nei relativi allegati i termini Trattamento, Dato

personale, Dati identificativi, Dati sensibili, Dati giudiziari, Titolare,

Responsabile, Incaricato, Interessato, Diffusione, Banca dati e tutti gli altri

termini sono usati in conformità alle definizioni elencate all'art. 4 del D.

Lgs.196/2003. In dettaglio il Documento Programmatico Sulla Sicurezza fornisce

informazioni relative a:

• l'elenco dei trattamenti di dati personali;

• indicazione del trattamento dei dati sensibili e giudiziari e descrizione

riassuntiva del contesto in conformità al parere espresso dal Garante, ai

sensi dell'art. 154, comma 1, lettera g) de! citato Decreto Legislativo.

• la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture

preposte al trattamento dei dati;

• l'analisi dei rischi che incombono sui dati;

• le misure da adottare per garantire l'integrità e la disponibilità dei dati.

• la descrizione dei criteri e delle modalità per il ripristino della disponibilità

dei dati in seguito a distruzione o danneggiamento garantendone la

disponibilità in tempi certi compatibili con i diritti degli interessati;


• la descrizione dei criteri da adottare per garantire l'adozione delle misure

minime di sicurezza in caso di trattamenti di dati personali affidati, in

conformità ai codice, all'esterno della struttura del titolare;

• per i dati personali idonei a rivelare lo stato di salute e la vita sessuale,

l'individuazione dei criteri da adottare per la cifratura o per la separazione

di tali dati dagli altri dati personali dell'interessato.

Il presente documento è valido per un anno. Trascorso tale termine, e non

oltre il 31 marzo

di ogni anno, sarà oggetto di opportune revisioni per adeguarlo ad eventuali

modifiche normative, al mutato livello di rischio a cui sono soggetti i dati

trattati, ad eventuali assegnazioni o revoche di incarichi, all'utilizzo di nuovi

strumenti informatici o in generale a un mutato assetto organizzativo

IL DPS E L’APPROCCIO ADOTTATO Il Codice sulla privacy (CODICE IN MATERIA DI PROTEZIONE DEI DATI

PERSONALI - Decreto legislativo n° 196 del 30-6-2003) e il Decreto 7.12.2006

n. 305 impongono di rispettare alcuni principi fondamentali a garanzia della

riservatezza dei dati personali.

Il DPS, Documento Programmatico della Sicurezza, è un obbligo relativo ai

trattamenti elettronici (quindi per tutte le attività di gestione di informazioni e

dati che presuppongono, nell’ambito della Autonomia scolastica, l’uso di PC, di

reti di posta elettronica, ecc.) per tutti quei soggetti, persone fisiche e

giuridiche, che trattino dati personali.

Il presente DPS è stato redatto a seguito di una rilevazione sistematica dei dati

personali trattati dall’ Istituzione scolastica e di un’analisi dell’infrastruttura

tecnologica esistente, con particolare riferimento alle caratteristiche della rete,

dei Personal computer, dei sistemi di sicurezza in uso.

E’ seguita un’analisi dei rischi ed una valutazione in ordine alla possibilità che

possano verificarsi episodi di utilizzo improprio dei dati, di loro perdita o

distruzione e di accesso non autorizzato.


Sono state, di conseguenza, definite misure ulteriori, rispetto a quelle già in

essere, per ridurre i rischi rilevati.

I trattamenti sono legati alla erogazione dei servizi formativi ed educativi

della istituzione scolastica, ai connessi rapporti con gli alunni e le famiglie, agli

adempimenti relativi alla gestione e alla formazione del personale, agli

adempimenti di contabilità e bilancio.

In linea generale, i dati trattati riguardano:

• persone fisiche, identificate o identificabili, quali nominativo, data di

nascita, residenza, domicilio, stato di famiglia, codice fiscale, obblighi di

leva, convinzioni religiose, filosofiche, politiche, vita sessuale, stato di

salute, dati sindacali;

• persone giuridiche quali la forma giuridica, la sede legale, la data di

costituzione, informazioni relative agli organi rappresentativi e legali,

partita Iva, codice fiscale, la titolarità di diritti o la disponibilità di beni

strumentali;

• presenze, prestazioni previdenziali, stipendi, permessi, ferie, malattia,

stato di servizio e altri dati connessi al rapporti di lavoro del personale

della scuola;

• procedimenti di natura penale, civile, tributaria e amministrativa;

• rapporti del dirigente scolastico e dei docenti con le famiglie;

• attività degli organi collegiali dell’istituzione scolastica;

• atti negoziali od offerte commerciali provenienti da fornitori di beni e

servizi, ivi comprese eventuali attività professionali svolte a fini

formativi;

• rapporti e convenzioni con aziende e agenzie formative, per stage e

tirocini degli alunni;

• altri soggetti, situazioni, eventi in applicazione di disposizioni di Legge o

Regolamenti.


Revisione 2015 - DPS

Il Dirigente dell’Istituzione Scolastica

v Visto il decreto legislativo 30 giugno 2003, n.196 recante il Codice in

materia di protezione di dati personali, e segnatamente gli artt. 34 ss.,

nonché l’allegato B del suddetto d.lgs., contenente il Disciplinare tecnico

in materia di misure minime di sicurezza.

v Considerato che l’Istituzione Scolastica IISS F. RE CAPRIATA, con

sede a Licata (AG) in Via Campobello, in quanto dotata di un autonomo

potere decisionale, ai sensi dell’art. 28 del d.lgs. n. 196 del 2003, deve

ritenersi titolare del trattamento di dati personali;

v Visto il “Regolamento sui dati sensibili e giudiziari del Ministero della

Pubblica Istruzione” contenuto nel Decreto Ministeriale n. 305 del 7

Dicembre 2006;

v Atteso che la suddetta Istituzione Scolastica è tenuta a prevedere ed

applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del d.lgs.

n.196 del 2003, adotta il presente

AGGIORNAMENTO AL

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA redatto ai sensi e per gli effetti degli artt. 33, 34, 35 e 36 del d.leg.vo 196/2003 e del disciplinare tecnico in materia di misure minime di sicurezza allegato al medesimo decreto.


FINALITA’ E SCOPI

Il presente documento, elaborato al fine di mettere in atto le misure di

cui al D.L.vo 196/2003, per tutelare i dati personali oggetto di trattamento, si

propone di delineare il quadro delle misure di sicurezza, organizzative, fisiche

e logiche, da adottare per il trattamento dei dati personali effettuato da tutto

il personale dell’ IISS “ F. RE CAPRIATA” di Licata (AG), il cui rappresentante

pro-tempore è il dirigente scolastico Prof. Arch. Sergio Coniglio, che nel

seguito del documento sarà indicato come “titolare”; il quale ha provveduto

a nominare il Responsabile della Privacy nella persona del Dott. Giuseppe

Bennardo.

I provvedimenti organizzativi disposti e le misure di sicurezza adottate in

osservanza a quanto disposto dal predetto D. L.vo 196/2003 sono finalizzati

a garantire a ciascun “interessato” (utente, dipendente, fornitore) la tutela

di:

· rispetto della privacy, della riservatezza dei dati, della tutela della

dignità personale, dell’identità personale;

· rispetto della riservatezza, con riguardo alla tutela dei dati personali,

anche allo scopo di evitare l’ingerenza di terzi;

· riservatezza delle documentazioni custodite dalla scuola e salvaguardia

dell’integrità nel tempo delle documentazioni medesime, siano esse

costituite da materiale cartaceo, che registrate su supporti informatici.


RIFERIMENTI NORMATIVI

· Legge 31/12/1996 n. 675 e successive modifiche;

· Legge 31/12/1996 n. 676, recante delega al governo in materia di

tutela delle persone e di altri soggetti rispetto al trattamento dei dati

personali;

· DPR 28/07/1999, n. 318 – Regolamento recante norme per

l’individuazione delle misure di sicurezza minime per il trattamento

dei dati personali;

· Legge 24/03/2001 n. 127, recante delega la governo per

l’emanazione di un T. U. in materia di trattamento dei dati personali;

· Decreto legislativo 30/06/2003 n. 196 – Codice in materia di

protezione dei dati personali, in particolare:

- degli articoli da 28 a 30 (Soggetti che effettuano il

trattamento);

- degli articoli dal 31 al 36 (Misure di sicurezza);

- degli articoli 59 e 60 (Disposizioni relative a specifici

settori – Trattamento in ambito pubblico);

- degli articoli 95 e 96 (Disposizioni relative a specifici

settori – Istruzione);


- dell’articolo 180 (Disposizioni transitorie – Misure di

sicurezza);

- dell’allegato B (Disciplinare tecnico in materia di misure

minime di sicurezza).

· Decreto Ministeriale n° 305 del 07/12/2006, regolamento dati

sensibili e giudiziari trattati dal Ministero P.I.;

Per “definizioni” si rispettano quelle riportate all’art. 4 del D.L.vo 196/2003.I

ADEGUAMEAAAKKJNTOETTIVI DEL DOCUMENTO

ADEGUAMENTO AL REGOLAMENTO DEI DATI

SENSIBILI E GIUDIZIARI EMANATO DAL MIUR Il presente D.P.S. è aggiornato alle novità introdotte dal D.M. del Ministro

della Pubblica Istruzione 7 dicembre 2006, n. 305, pubblicato sulla

G.U. n. 11 del 15 gennaio 2007: “Regolamento recante l’identificazione dei

dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal

Ministero della pubblica istruzione, in attuazione degli articoli 20 e 21 del

decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di

protezione dei dati personali»” (d’ora in poi “Regolamento”).

Il Regolamento innova la disciplina sul trattamento dei dati sensibili e

giudiziari nelle scuole, circoscrivendo i casi in cui è possibile trattare tali dati e

specificando le operazioni su di essi eseguibili. In particolare:

· non è consentito il trattamento dei dati sensibili e giudiziari se non per

finalità di rilevante interesse pubblico individuate dalla legge e

specificate nel Regolamento;

· non è consentito il trattamento dei dati sensibili e giudiziari se non

nell’ambito dei processi\procedimenti individuati nel Regolamento;


· i dati sensibili e giudiziari non previsti dal Regolamento non possono

essere utilizzati e trattati;

· non è possibile comunicare dati sensibili e giudiziari a enti pubblici o

privati se non nei casi previsti dal Regolamento.

Il Regolamento viene aggiornato e approvato entro il 28 febbraio di ogni

anno.

ARTICOLAZIONE DEL DOCUMENTO

Conformemente a quanto prescrive il punto 19 del “disciplinare tecnico

allegato sub b) al d.Lgs. 196/2003, nel presente documento sono

evidenziati:

1. i dati personali trattati;

2. l’indicazione delle sedi e la descrizione dei locali e degli strumenti con i

quali si effettuano i trattamenti;

3. il titolare del trattamento dei dati;

4. la distribuzione dei compiti e delle responsabilità;

5. l’analisi dei rischi che incombono sui dati;

6. le misure adottate e da adottare per garantire l’integrità e la

disponibilità dei dati;

7. i criteri per l’adozione delle misure minime di sicurezza dei dati;

8. i criteri per la formazione del personale;

9. le dichiarazioni di impegno.


DEFINIZIONI

Per la redazione del presente Documento si applicano le definizioni elencate

nella legge n. 675/1996, nel D.L.vo n. 196/2003 e nel D.P.R. n. 318/1999.

Si intende per:

amministratori di sistema “I soggetti cui è conferito il compito di

sovrintendere alle risorse di una rete o di un sistema di base dati e di

consentirne l’utilizzazione”;

autenticazione informatica, l'insieme degli strumenti elettronici e delle

procedure per la verifica anche indiretta dell'identità;

banca di dati, qualsiasi complesso organizzato di dati personali, ripartito in

una o più unità dislocate in uno o più siti;

blocco, la conservazione di dati personali con sospensione temporanea di

ogni altra operazione del trattamento;

codice identificativo personale (user-id) Sequenza di codici numerici e

alfanumerici in chiaro che identificano l’operatore che accede a un

elaboratore, una volta assegnato ad una persona non deve poter essere più

riutilizzato;

comunicazione elettronica, ogni informazione scambiata o trasmessa tra

un numero finito di soggetti tramite un servizio di comunicazione elettronica;


credenziali di autenticazione, i dati ed i dispositivi, in possesso di una

persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per

l' autenticazione informatica;

custode delle password, persona incaricata di proteggere le buste sigillate

contenenti le password di utenti ed incaricati, custodendole in apposita

cassaforte o armadio;

dati dei quali è consentita la comunicazione o diffusione, dati elencati

dall’art. 20 L. 675/1996 (a titolo esemplificativo: se vi è il consenso espresso

dell’interessato; se i dati provengono da elenchi o registri pubblici, o da

documenti conoscibili da chiunque; in adempimento di un obbligo di legge;

etc.).

dati giudiziari, i dati personali idonei a rivelare provvedimenti in materia di

casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da

reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai

sensi degli articoli 60 e 61 del codice di procedura penale;

dati identificativi, i dati personali che permettono l'identificazione diretta

dell'interessato;

dati personali comuni, qualunque informazione relativa a persona fisica,

persona giuridica, ente od associazione, identificati o identificabili, anche

indirettamente, mediante riferimento a qualsiasi altra informazione, ivi

compreso un numero di identificazione personale, in via residuale, sono tutti i

dati personali non classificabili come sensibili o particolari;


dati personali particolari, dati personali sensibili con informazioni relative

ai provvedimenti penali;

dati personali sensibili, i dati personali idonei a rivelare l’origine razziale ed

etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni

politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a

carattere religioso, filosofico, politico o sindacale, nonché i dati personali

idonei a rivelare lo stato di salute e la vita

sessuale;

diffusione, il dare conoscenza dei dati personali a soggetti indeterminati, in

qualunque forma, anche mediante la loro messa a disposizione o

consultazione;

documento programmatico sulla sicurezza, documento che definisce,

sulla base dell’analisi dei rischi, le misure di sicurezza da adottare. Tale

documento deve essere obbligatoriamente predisposto, e revisionato con

cadenza annuale, in presenza di dati particolari trattati con elaboratori

accessibili mediante una rete di

telecomunicazione disponibile al pubblico.

Garante, l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre

1996, n. 675.

incaricati, le persone fisiche autorizzate a compiere operazioni di

trattamento dal titolare o dal responsabile;


interessato, la persona fisica, la persona giuridica, l'ente o l'associazione cui

si riferiscono i dati personali;

misure minime, il complesso delle misure tecniche, informatiche,

organizzative, logistiche e procedurali di sicurezza che configurano il livello

minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31

D.L.svo 196/03;

parola chiave (Password), componente di una credenziale di

autenticazione associata ad una persona ed a questa nota, costituita da una

sequenza di caratteri o altri dati in forma elettronica;

posta elettronica, messaggi contenenti testi, voci, suoni o immagini

trasmessi attraverso una rete pubblica di comunicazione, che possono essere

archiviati in rete o nell'apparecchiatura terminale ricevente;

profilo di autorizzazione, l'insieme delle informazioni, univocamente

associate ad una persona, che consente di individuare a quali dati essa può

accedere, nonché i trattamenti ad essa consentiti;

responsabile, la persona fisica, la persona giuridica, la pubblica

amministrazione e qualsiasi altro ente, associazione od organismo preposti dal

titolare al trattamento di dati personali;

rete pubblica di comunicazioni, una rete di comunicazioni elettroniche

utilizzata interamente o prevalentemente per fornire servizi di comunicazione

elettronica accessibili al pubblico;


reti di comunicazione elettronica, i sistemi di trasmissione, le

apparecchiature di commutazione o di instradamento e altre risorse che

consentono di trasmettere segnali;

sistema di autorizzazione, l'insieme degli strumenti e delle procedure che

abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in

funzione del profilo di autorizzazione del richiedente;

strumenti elettronici, gli elaboratori, i programmi per elaboratori e

qualunque dispositivo elettronico o comunque automatizzato con cui si

effettua il trattamento;

titolare, la persona fisica, la persona giuridica, la pubblica amministrazione e

qualsiasi altro ente, associazione od organismo cui competono, anche

unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del

trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo

della sicurezza;

trattamento, qualunque operazione o complesso di operazioni, effettuati

anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la

registrazione, l'organizzazione, la conservazione, la consultazione,

l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,

l'interconnessione, il blocco, la

comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se

non registrati in una banca di dati;


utente, qualsiasi persona fisica che utilizza un servizio di comunicazione

elettronica accessibile al pubblico.

Tutte le definizioni appena esposte si intendono riferite ai dati trattati

dall’Istituzione scolastica.

ORGANIGRAMMA DELLE MANSIONI E

RESPONSABILITA’

TITOLARE DEL TRATTAMENTO SERGIO CONIGLIO Tel. 0922 891158 INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI

PERSONALE DOCENTE E ATA

RESPONSABILI DELLA PRIVACY GIUSEPPE BENNARDO CALOGERO PATTI

RESPONSABILE GESTIONE E SICUREZZA STRUMENTI ELETTRONICI

AMMINISTRATORE DI SISTEMA

CUSTODE DELLE CHIAVI E DELLE PASSWORD

GERLANDO PERITORE

D.P.S. IISS “Re Capriata” Licata Aggiornamento 2015 Pagina 16 di 81

RESPONSABILITÀ

I responsabili, gli incaricati del trattamento e i manutentori del sistema sono

individuati con apposito provvedimento che specifica finalità e modalità del

trattamento autorizzate.

Titolare del trattamento

Titolare del trattamento è l’ Istituzione Scolastica, con sede in via Campobello

(s.n.) a Licata (AG) nella veste del suo rappresentante legale pro-tempore, il

Dirigente Scolastico.

Il Dirigente Scolastico in qualità di titolare del trattamento dei dati

- è responsabile dell'analisi e della valutazione dei rischi ai fini dell'adozione di

misure di sicurezza, sia idonee che minime;

- procede alla predisposizione delle misure idonee ritenute indispensabili nella

struttura, valuta la congruità tecnico-economica delle misure proposte e quindi

disporre l'adozione delle stesse;

- individua il/i responsabile/i del trattamento e con apposito incarico ne stabilisce

le responsabilità in merito al rispetto degli adempimenti e delle prescrizioni

stabiliti sulla base del D.Lgs196/03;

- si avvale della collaborazione del D.S.G.A. e dei responsabili dei diversi settori

per la definizione della modulistica e delle procedure.

Responsabile del trattamento

Al responsabile del trattamento sono attribuiti incarichi di ordine organizzativo e

direttivo, ed egli provvede a:

- individuare e designare per iscritto gli incaricati del trattamento che operano

sotto la sua diretta autorità indicando

puntualmente l’ambito del trattamento consentito;


- impartire loro specifiche istruzioni scritte relative alle modalità di trattamento

ammesse;

- organizzare la formazione per gli incaricati;

- procedere alle verifiche specificate nell’incarico.

Sono individuati quali Responsabili del trattamento dei dati comuni e sensibili il

dott. Giuseppe Bennardo e l’ing. Calogero Patti.

Amministratore di Sistema

Il Titolare del trattamento conferisce l’incarico di Amministratore di Sistema al

soggetto incaricato di sovrintendere alle Risorse Informatiche dell’Istituto

secondo quanto stabilito nel Disciplinare interno (Allegato B) per l'utilizzo delle

strumentazioni informatiche, della rete internet e della posta elettronica.

L’Amministratore di Sistema, nell’espletamento delle sue funzioni legate alla

sicurezza e alla manutenzione informatica, ha facoltà di accedere in qualunque

momento, anche da remoto, e dopo aver richiesto l’autorizzazione all’utente

interessato, al personal computer di ciascun dipendente.

Incaricati del trattamento

L’assegnazione del personale docente e ATA alla specifica unità operativa, per la

quale è individuato con atto formale, comporta l’automatico incarico al

trattamento autorizzato per iscritto agli addetti all’unità medesima e la

consegna, a cura del Responsabile del Trattamento, delle specifiche istruzioni

scritte relative alle modalità di trattamento ammesse.

Per il personale amministrativo la designazione per iscritto riguarda un singolo

incaricato e con essa si individua l’ambito del trattamento a questi consentito.

Di norma tali incarichi sono assegnati a partire dal I settembre, data di inizio del

nuovo anno scolastico che coincide con le assegnazioni di sede del personale.

Sia per i trattamenti effettuati con strumenti elettronici, che per quelli che

avvengono senza l’ausilio di tali strumenti, l’autorizzazione al trattamento è


soggetta ad aggiornamento periodico e comunque almeno annuale, quando

viene verificata la sussistenza delle condizioni per la conservazione dei profili di

autorizzazione riguardo l’ambito di trattamento consentito sia ai singoli incaricati

che agli addetti alla manutenzione e gestione degli strumenti elettronici

DATI E BANCHE DATI

Al fine di elaborare l’elenco dei trattamenti dei dati, posti in essere dal Titolare:

- sono precisate le finalità del trattamento;

- sono individuati i tipi di dati personali trattati, in base alla loro natura (comuni,

giudiziari o sensibili ed alla categoria

di soggetti cui essi si riferiscono (alunni, personale dipendente, fornitori, …..)

- sono definite le operazioni di trattamento dei dati effettuate;

- sono descritte le aree, i locali e gli strumenti con i quali si effettuano i

trattamenti.

Finalità del trattamento

Al fine di perseguire le finalità istituzionali, l’Istituto effettua operazioni di

trattamento di dati personali (sia comuni che sensibili o giudiziari) di studenti,

personale dipendente, fornitori con le seguenti finalità:

a. la selezione e il reclutamento del personale a tempo determinato, nonché

l’instaurazione, la gestione e la cessazione del rapporto di lavoro;

b. la frequenza dei corsi di studio;

c. l’espletamento delle attività educative, didattiche e formative, curriculari ed

extracurriculari, di valutazione ed orientamento, di scrutini ed esami;

d. l’attivazione degli organismi collegiali e delle commissioni istituzionali previsti

dall’ordinamento scolastico;

e. l’acquisizione di beni, servizi e opere;

f. la difesa in giudizio del Ministero dell’istruzione e delle istituzioni scolastiche ed

educative nel contenzioso del lavoro e amministrative, nonché quelle connesse

alla gestione degli affari penali e civili;


g. le attività connesse alla instaurazione di contenzioso (reclami, ricorsi, esposti,

provvedimenti di tipo disciplinare, ispezioni, citazioni, denunce all’autorità

giudiziaria, etc.) con gli alunni e con le famiglie, e tutte le attività relative

alla difesa in giudizio delle istituzioni scolastiche.

INDICAZIONI RELATIVE AI DATI TRATTATI

Il presente Documento Programmatico sulla Sicurezza riguarda il trattamento

dei seguenti dati personali:

COMUNI SENSIBILI GIUDIZIARI

Il trattamento dei dati personali di cui sopra viene effettuato per mezzo

di:

STRUMENTI ELETTRONICI DI ELABORAZIONE

ALTRI STRUMENTI DI ELABORAZIONE [Cartacei, Audio, Visivi e

Audiovisivi, ... ] La compilazione “partecipata”, da parte del Dirigente Scolastico e del

Responsabile della privacy, ha consentito una valutazione complessiva più

generale dello stato dell’organizzazione e dei fabbisogni

dell’Istituzione scolastica e, con essa, l’individuazione di soluzioni

migliorative delle sue prestazioni, in seguito al lavoro di ricognizione

eseguito in vista del presente documento, la scuola ha provveduto a:

• organizzare i trattamenti di dati in formato cartaceo, con particolare

riguardo all’attività di Segreteria, in modo da garantire un’idonea custodia

X X X

X

X


dei documenti e di riservare l’accesso alle aree in cui si

effettuano i trattamenti ai soli soggetti incaricati;

• porre in essere le misure di sicurezza adeguate per la protezione dei dati

trattati in formato elettronico.

I trattamenti avvengono nel rispetto degli obblighi derivanti dalla

legislazione nazionale e comunitaria, nonché da fonti di natura regolamentare.

I trattamenti sono legati alla erogazione dei servizi formativi ed educativi

dell’Istituzione scolastica, ai connessi rapporti con gli alunni e le famiglie,

agli adempimenti relativi alla gestione e alla formazione del personale, agli

adempimenti di contabilità e bilancio.

In linea generale, i dati trattati riguardano o possono riguardare:

• persone fisiche, identificate o identificabili, quali nominativo,

data di nascita, residenza, domicilio, stato di famiglia, codice fiscale,

obblighi di leva;

• persone giuridiche quali la forma giuridica, la sede legale, la data

di costituzione, informazioni relative agli organi rappresentativi e legali,

partita Iva, codice fiscale, la titolarità di diritti o la disponibilità di beni

strumentali;

• presenze, prestazioni previdenziali, stipendi, permessi, ferie,

malattia, stato di servizio e altri dati connessi al rapporti di lavoro del

personale della scuola;


• procedimenti di natura penale, civile, tributaria e amministrativa;

• rapporti del Dirigente scolastico e dei docenti con le famiglie;

• attività degli organi collegiali dell’Istituzione scolastica;

• atti negoziali od offerte commerciali provenienti da fornitori di beni

e servizi, ivi comprese eventuali attività professionali svolte a fini

formativi;

• rapporti e convenzioni con aziende e agenzie formative, per stage e

tirocini degli alunni;

• altri soggetti, situazioni, eventi in applicazione di disposizioni di

Legge o Regolamenti.

Si è proceduto con particolare cura ad un’attenta ricognizione dei

trattamenti di dati sensibili e giudiziari effettuati da questa scuola. Il

risultato ha evidenziato un limitato trattamento di dati sensibili in formato

elettronico, questi possono riferirsi a situazioni di disagio o handicap

fisico/psichico degli alunni o del personale e/o a particolari esigenze da

queste derivanti, a casi di malattie o infortuni particolari, nonché

all’indicazione della sigla sindacale a favore della quale viene eseguita la

trattenuta. Non risulta alcun trattamento in formato elettronico di dati

giudiziari


DOCUMENTAZIONI

1. dati personali relativi agli alunni (registri di classe contenenti i recapiti

delle famiglie e comunicazioni varie, con esclusione di ogni

documentazione che possa contenere dati “sensibili”);

2. dati personali sensibili relativi agli alunni (certificazioni mediche,

certificazioni di deficit, diagnosi, ecc..) ;

3. dati sensibili relativi ai genitori degli alunni (istanze contenenti dati relativi

alla situazione patrimoniale, documentazioni giudiziarie, documentazioni

mediche prodotte a corredo delle domande di iscrizione o di altre

domande)

4. dati personali relativi ai dipendenti;

5. dati personali sensibili relativi ai dipendenti;

6. dati personali riservati, relativi ad alunni, genitori e personale dipendente,

7. riguardanti corrispondenza riservata custodita dal dirigente, compresi gli

atti

relativi ai provvedimenti disciplinari;

8. dati personali relativi ai fornitori;

9. dati personali di anni precedenti, sistemati in archivio; sono escluse le

documentazioni contenenti dati sensibili.


SEDE

Sede Via Campobello, (s.n.) - Licata.

Struttura dell’edificio in cui sono custoditi i dati personali: Il sito è circondato da una protezione perimetrale con cancelli d’accesso che

sono sorvegliati durante le ore di attività e chiusi a fine giornata lavorativa.

Inoltre, l’edificio è circondato su tutti i lati da fari illuminanti nel periodo

notturno. Dispone, inoltre, di fari anche per l’illuminazione di lati o cortili interni.

La sede non è difesa nelle porte d’accesso e nelle finestrature con vetri

antisfondamento o inferriate. L’edificio si presenta efficiente sia per quanto

concerne gli impianti tecnologici che relativamente alla struttura architettonica

interna.

I locali dove vengono trattati dati personali, sia per mezzo di documenti cartacei

che attraverso applicazioni ed archivi informatici, sono situati all’interno dell’area

dedicata agli uffici di segreteria il cui accesso è sempre presidiato durante il

normale svolgimento dell’attività lavorativa.

Misure di sicurezza (TU81/2008)

Il sistema antincendio è costituito da estintori manuali a polvere ed anidride

carbonica omologati. E’ garantita la manutenzione con controllo d’efficienza

semestrale da parte di una società specializzata e si provvede ad assicurare la

continuità nell’addestramento di personale preposto sull’uso degli estintori stessi.

La sede non è provvista di rilevatori di fumo. È stato predisposto un piano

d’evacuazione, sono ubicati nei punti necessari e visibili al pubblico le procedure

scritte da seguire in caso d’emergenza, è funzionante l’impianto d’illuminazione

d’emergenza nei locali d’accesso al pubblico.

L’impianto elettrico è a norma come anche la cablatura della rete informatica. È

presente per le postazioni di lavoro e il server un sistema d’alimentazione,


specifico, dedicato, separato dagli altri contesti utilizzatori e con potenza

adeguata, che soddisfa la necessaria continuità elettrica di funzionamento.

Dati personali in ingresso

I documenti cartacei in arrivo sono sempre consegnati in busta chiusa al

Dirigente Scolastico che li esamina, destinando al protocollo riservato quelli

appartenenti alle tipologie di dati riservati o sensibili, e smistando quelli trattati

dall’Ufficio di Segreteria.

I documenti ricevuti tramite FAX o consegnati aperti vengono subito recapitati

al Dirigente Scolastico, previa registrazione al protocollo, dal personale

incaricato.

Documenti in uscita

I documenti in uscita vengono trattati esclusivamente dal personale incaricato,

protocollati e predisposti per la spedizione in busta chiusa. I documenti

contenenti dati sensibili vengono chiusi in busta chiusa riservata ed inseriti nel

plico contenente la lettera di trasmissione nella quale è evidenziata la presenza

di documentazione riservata.


DESCRIZIONE DEI LOCALI IN CUI VENGONO CUSTODITI

I DATI PERSONALI

La sede scolastica ospita, al primo piano, gli Uffici di segreteria, l’Ufficio del

Dirigente Scolastico e l’Ufficio dei Collaboratori del D.S.

Negli uffici di segreteria sono custoditi tutti i materiali cartacei nonché le

seguenti strumentazioni informatiche (personal computer) che vengono in

parte utilizzati per l’elaborazione dei dati personali.

Il personale incaricato del trattamento dei dati viene di seguito riportato:

a) T2 – Gestione degli Alunni – Dati personali trattati dai sigg.

BAGGIONE STELLA,

PISANO GIOVANNI, VITA GERLANDO

b) T3 - Amministrazione del Personale dipendente – Dati personali

trattati dai sigg., FANARA AGOSTINO, SICILIA PAOLA

c)T4 - Collaborazioni professionali – Dati personali trattati dal Geom.

SAVARINO ANGELO E

DAL RAG. GUELI TOMMASO.

d) T5 - Acquisti e fornitori-– Dati personali trattati dal Geom.

SAVARINO ANGELO E DAL RAG. GUELI TOMMASO.

e) T6 – Contabilita’ (Gestione finanziaria e del bilancio)-– Dati personali

trattati dal Rag. CAICO VINCENZO.

f) T7 - Gestione Istituzionale e Protocollo-– Dati personali trattati dalla

Sig.ra SICILIA PAOLA e, in sua assenza, anche dagli altri Assistenti

Amministrativi designati.

g) Il DSGA Sig. PERITORE GERLANDO viene incaricato di trattare

tutti i dati personali presenti in Segreteria e di coordinare tutte le

attività di segreteria relative alla conservazione e tutela dei dati

personali.


INFORMAZIONI SULLA TIPOLOGIA DEI

DOCUMENTI E SUGLI STRUMENTI

Sia in forma cartacea che informatizzata, nei predetti uffici sono trattati

documentazioni complete riguardanti gli alunni, relativi al corso di studi, alla

presenza di handicap, alla certificazione dell’idoneità alla pratica sportiva non

agonistica, alla scelta dell’insegnamento della religione cattolica. Documenti

prodotti dalle famiglie, riguardanti la certificazione della situazione patrimoniale.

Tutta la documentazione riguardante i docenti e il personale ATA, con elementi

di individuazione di appartenenza sindacale, stato di salute, anche di congiunti

per i quali vengono richiesti benefici previsti da particolari norme, allo stato di

servizio, alla retribuzione, alle eventuali pratiche disciplinari e giudiziarie.

STRUTTURA DEL DOCUMENTO

Nell’impostare la struttura del documento si è tenuto conto degli esempi

pubblicati nel sito web del Garante, nonché della “Guida operativa per redigere

il documento programmatico”

Vengono, pertanto, fornite le seguenti “Informazioni essenziali”:

Indicazione della finalità perseguita e dell’attività svolta

dall’Istituzione scolastica:


· Garanzia del servizio scolastico offerto all’utenza

· Gestione del personale interno con contratto a tempo determinato e

indeterminato

· Certificazione degli esiti scolastici e dei servizi prestati dai dipendenti

· Acquisizione di beni e servizi da terzi fornitori

Natura dei dati trattati:

Dati personali di alunni, genitori e dipendenti, tra i quali, assimilabili alla

connotazione di “dati sensibili”, vengono indicati quelli relativi alla presenza di

certificazione della situazione di handicap relativa ad alcuni alunni, alla casuale

presentazione di documentazioni prodotte da dipendenti o utenti, recanti notizie

sullo stato di salute dei soggetti interessati.

Luoghi di tenuta e trattamento dei dati

I dati su supporto cartaceo e i dati acquisiti attraverso il protocollo riservato,

sono conservati presso la Sede dell’Istituzione Scolastica, ubicata in Via

Campobello (s.n.) a Licata.

I dati su supporto elettronico sono conservati negli archivi elettronici:

o dei computer dei servizi amministrativi ;

o nel server di Istituto.

I Servizi strumentali, concernenti l’assistenza e la manutenzione degli strumenti

elettronici (elaboratori e programmi), sono affidati all’esterno,


Banca dati:

Tutti i dati contenuti in documentazione cartacea vengono raccolti e conservati

negli armadi degli uffici di segreteria e, quelli antecedenti all’ a.s. 2002-03, negli

archivi dell’istituto situati in appositi locali al primo piano. I dati relativi al

personale, agli alunni ed alla gestione economico-contabile, anche con

riferimento all’identità dei fornitori, sono trattati mediante elaborazione

elettronica costituita da software acquisiti dalla ditta Argo-Software

Tipologia di accesso:

L’accesso agli uffici è consentito solo al personale addetto specificamente

incaricato.

Tutti i computer presenti negli Uffici sono bloccati da password e da sceensaver

con password di cui sono a conoscenza esclusivamente gli addetti incaricati.

Tipologia di interconnessione:

Tutti i pc delle varie postazioni, richiedono, all’accensione, la password, prima di

avviare i programmi. L’attivazione della “condivisione” dei dati contenuti nei

pc delle varie postazioni di lavoro collegate in rete è limitata solo alle cartelle che

non contengono dati personali.

La consegna delle password ai responsabili del trattamento dei dati viene

effettuata in forma riservata, dall’Amministratore di Sistema con

raccomandazione alla custodia.


Viene, altresì disposto il cambiamento delle password ad ogni

trimestre.

DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’

Elenco dei trattamenti di dati personali (regola 19.1 disciplinare tecnico)

Finalità del trattamento

Il trattamento dei dati personali è funzionale al raggiungimento delle finalità di

istruzione e di formazione in ambito scolastico, professionale e superiore, con

particolare riferimento a quelle svolte anche in forma integrata, ed è quindi di

rilevante interesse pubblico, ai sensi degli articoli 20, 21, 95, 96 del

D.lgs 196/2003.

Per le sue finalità istituzionali, l’Istituzione scolastica tratta dati personali, sia

comuni, sia sensibili o giudiziari, di studenti, genitori, personale dipendente e

fornitori.

BANCHE DATI TRATTATI DAI DOCENTI I dati personali trattati dai docenti sono contenuti in banche dati su supporto

cartaceo e/o informatico che si classificano in:

· basi di dati alle quali hanno accesso più docenti

· basi di dati alle quali ha accesso un solo docente

Le banche dati cui hanno accesso più docenti sono:

· il registro di classe

· il registro dei verbali del consiglio di classe o di interclasse


· la documentazione relativa alla programmazione didattica

· i documenti di valutazione

· i certificati medici degli allievi

· la corrispondenza con le famiglie

· la documentazione dello stato di handicap

Le banche dati cui ha accesso il singolo docente sono:

· il registro personale

· gli elaborati

BANCHE DATI TRATTATI DAL PERSONALE ATA Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati

personali, cui ha accesso il personale di segreteria, raggruppati in insiemi

omogenei, sono:

· il fascicolo relativi al personale della scuola

· il fascicolo alunni e ex alunni

· l’anagrafe fornitori, i contratti

· la documentazione finanziaria e contabile

· i verbali delle Assemblee degli Organi Collegiali

· i fascicoli del Personale Direttivo, Docente e Amministrativo

· la documentazione didattica trattata dai docenti per la conservazione

· i fascicoli del personale in prova

BANCHE DATI TRATTATI DAL DIRIGENTE SCOLASTICO

Le banche dati di pertinenza del Dirigente scolastico sono:

· la programmazione e gli atti relativi allo stato di disagio

· il protocollo riservato

· il registro degli infortuni


Nell’ambito delle banche dati sopra elencate, possono essere trattati dati sia

dati personali e identificativi, sia dati sensibili e giudiziari, ai sensi

dell’art. 4 del Codice privacy1.

Elenco dei trattamenti di dati personali

La tipologia dei dati sensibili e giudiziari che possono essere trattati dalle scuole,

nonché gli ambiti in cui tali dati possono emergere e i soggetti ai quali possono

essere comunicati, sono stati tassativamente previsti dal Regolamento del

MPI (D.M. 305/2006).

Nella tabella che segue, con riferimento al sopra richiamato Regolamento, si

riportano:

· gli ambiti del trattamento e/o i processi in cui possono emergere dati

sensibili e giudiziari, con riferimento al Regolamento MPI (con indicazione

del numero della scheda allegata al Regolamento);

· i tipi di dati trattati;

· i terzi a cui è possibile comunicare i dati sensibili e giudiziari.

Per completezza, si allegano le schede del Regolamento MPI, che fanno parte

integrante del presente documento.

1 Definizioni ex art. 4 Codice privacy:

· "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o

identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione

personale;

· "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;

· "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le

opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,

nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

· "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del

d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e

dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale

Pagina 32 di 81

Tab. 1 - Elenco dei trattamenti (regola 19.1 del disciplinare tecnico)2

Legenda:

Schede = sono le schede allegate al Regolamento MPI n. 305/2006, allegate anche al presente DPS C = dati comuni - S = dati sensibili - G = dati giudiziari

Descrizione sintetica del trattamento

Natura dei dati ID Struttura

di riferimento

(v. Tab. 2)

ID Altre strutture coinvolte (v. Tab. 2)

Terzi a cui vengono comunicati i dati e indicazioni delle finalità del trattamento di dati sensibili e giudiziari

(vedi schede allegate al Regolamento MPI)

Id Trattamen

to

Ambito del trattamento e/o

processo gestito

Interessati S G C

T1

Gestione Area Alunni Relativamente ai dati sensibili e giudiziari : · Scheda D–

Attività propedeutiche all’avvio

dell’anno

scolastico; · Scheda E –

Attività educativa, didattica e formativa e di valutazione;

· Scheda F – Rapporti Scuola-Famiglie: gestione del contenzioso.

Alunni Genitori

x x x A2.2 A5 –

A3.1 –A7

- agli Enti Locali per la fornitura dei servizi ai sensi del D. Lgsl. 31 marzo 1998, n.

112, limitatamente ai dati indispensabili all’erogazione del servizio;

- ai gestori pubblici e privati dei servizi di assistenza agli alunni e di supporto

all’attività scolastica, ai sensi delle leggi regionali sul diritto allo studio,

limitatamente ai dati indispensabili all’erogazione del servizio;

- alle altre istituzioni scolastiche, statali e non statali, per la trasmissione della

documentazione attinente la carriera scolastica degli alunni, limitatamente ai dati

indispensabili all’erogazione del servizio;

- agli Istituti di assicurazione per denuncia di infortuni e per la connessa

responsabilità civile;

- all’INAIL per la denuncia di infortuni ex-D.P.R. 30 giugno 1965, n. 1124;

- alle AUSL e agli Enti Locali per il funzionamento dei Gruppi di Lavoro di istituto

per l’Handicap e per la predisposizione e la verifica del Piano Educativo

Individuale, ai sensi della Legge 5 febbraio 1992, n.104;

- ad aziende, imprese e altri soggetti pubblici o privati per tirocini formativi, stages e

alternanza scuola-lavoro, ai sensi della Legge 24 giugno 1997, n. 196 e del D. Lgsl.

21 aprile 2005, n. 77 e, facoltativamente, per attività di rilevante interesse sociale ed

economico, limitatamente ai dati indispensabili all’erogazione del servizio.

- Avvocature dello Stato, per la difesa erariale e consulenza presso gli organi di

giustizia;

- Magistrature ordinarie e amministrativo-contabile e Organi di polizia giudiziaria,

per l’esercizio dell’azione di giustizia;

- Liberi professionisti, ai fini di patrocinio o di consulenza, compresi quelli di

controparte per le finalità di corrispondenza.

T2 Gestione Area

Bilancio Personale Fornitori

x A3.2 USP, USR, MPI, Agenzia delle Entrate, Altre istituzioni scolastiche, INPDAP, INPS,

INAIL, AUSL, Altre Amministrazioni Pubbliche, Corte dei Conti, MEF, Banca che

effettua il servizio di cassa

2 Fonte: Modello Garante Privacy con adattamento.

Pagina 33 di 81



di riferimento

(v. Tab. 2)




Id Trattamen

to


processo gestito

Interessati S G C

T3

Gestione Area Personale Relativamente ai dati sensibili e giudiziari : · Scheda A–

Selezione e reclutamento a TI e TD e gestione del rapporto di lavoro;

· Scheda B – Gestione del contenzioso e procedimenti disciplinari;

· Scheda C – Organismi collegiali e commissioni istituzionali;

· Scheda F – Rapporti Scuola-Famiglie: gestione del contenzioso.

Pers

on

ale

x x x A1.1 – A3.1

A1.2 – A2.3 – A3.2 - A1.3

- Servizi sanitari competenti per le visite fiscali e per l’accertamento dell’idoneità

all’impiego;

- Organi preposti al riconoscimento della causa di servizio/equo indennizzo, ai sensi

del DPR 461/2001);

- Organi preposti alla vigilanza in materia di igiene e sicurezza sui luoghi di lavoro

(d.lg. n. 626/1994)

- Enti assistenziali, previdenziali e assicurativi, autorità di pubblica sicurezza a fini

assistenziali e previdenziali, nonché per la denuncia delle malattie professionali o

infortuni sul lavoro ai sensi del d.P.R. n. 1124/1965;

- Amministrazioni provinciali per il personale assunto obbligatoriamente ai sensi

della L. 68/1999;

- Organizzazioni sindacali per gli adempimenti connessi al versamento delle quote di

iscrizione e per la gestione dei permessi sindacali;

- Pubbliche Amministrazioni presso le quali vengono comandati i dipendenti, o

assegnati nell’ambito della mobilità;

- Ordinario Diocesano per il rilascio dell’idoneità all’insegnamento della Religione

Cattolica ai sensi della Legge 18 luglio 2003, n. 186;

- Organi di controllo (Corte dei Conti e MEF): al fine del controllo di legittimità e

annotazione della spesa dei provvedimenti di stato giuridico ed economico del

personale ex Legge n. 20/94 e D.P.R. 20 febbraio 1998, n.38;

- Agenzia delle Entrate: ai fini degli obblighi fiscali del personale ex Legge 30

dicembre 1991, n. 413;

- MEF e INPDAP: per la corresponsione degli emolumenti connessi alla cessazione

dal servizio ex Legge 8 agosto 1995, n. 335;

- Presidenza del Consiglio dei Ministri per la rilevazione annuale dei permessi per

cariche sindacali e funzioni pubbliche elettive (art. 50, comma 3, d.lg. n. 165/2001).

- Ministero del Lavoro e delle Politiche Sociali: per lo svolgimento dei tentativi

obbligatori di conciliazione dinanzi a Collegi di conciliazione ex D.Lgs. 30 marzo

2001, n. 165;

- Organi arbitrali: per lo svolgimento delle procedure arbitrali ai sensi dei CCNL di

settore;

- Avvocature dello Stato: per la difesa erariale e consulenza presso gli organi di

giustizia;

- Magistrature ordinarie e amministrativo-contabile e Organi di polizia giudiziaria:

per l’esercizio dell’azione di giustizia; Liberi professionisti, ai fini di patrocinio o di

consulenza, compresi quelli di controparte per le finalità di corrispondenza sia in

fase giudiziale che stragiudiziale.

- USP, USR, MPI, Altre istituzioni scolastiche, Organi preposti agli accertamenti

idoneità impiego

Pagina 34 di 81



di riferimento

(v. Tab. 2)




Id Trattamen

to


processo gestito

Interessati S G C

T4

Gestione Area Retribuzioni Relativamente ai dati sensibili e giudiziari : · Scheda A –

Selezione e reclutamento a TI e TD e gestione del rapporto di lavoro;

· Scheda B – Gestione del contenzioso e procedimenti disciplinari;

· Scheda C 3 – Organismi collegiali e commissioni istituzionali;

Personale x x x A1.2 A3.2

- Servizi sanitari competenti per le visite fiscali e per l’accertamento dell’idoneità

all’impiego;

- Organi preposti al riconoscimento della causa di servizio/equo indennizzo, ai sensi

del DPR 461/2001);

- Organi preposti alla vigilanza in materia di igiene e sicurezza sui luoghi di lavoro

(d.lg. n. 626/1994)

- Enti assistenziali, previdenziali e assicurativi, autorità di pubblica sicurezza a fini

assistenziali e previdenziali, nonché per la denuncia delle malattie professionali o

infortuni sul lavoro ai sensi del d.P.R. n. 1124/1965;

- Amministrazioni provinciali per il personale assunto obbligatoriamente ai sensi

della L. 68/1999;

- Organizzazioni sindacali per gli adempimenti connessi al versamento delle quote di

iscrizione e per la gestione dei permessi sindacali;

- Pubbliche Amministrazioni presso le quali vengono comandati i dipendenti, o

assegnati nell’ambito della mobilità;

- Ordinario Diocesano per il rilascio dell’idoneità all’insegnamento della Religione

Cattolica ai sensi della Legge 18 luglio 2003, n. 186;

- Organi di controllo (Corte dei Conti e MEF): al fine del controllo di legittimità e

annotazione della spesa dei provvedimenti di stato giuridico ed economico del

personale ex Legge n. 20/94 e D.P.R. 20 febbraio 1998, n.38;

- Agenzia delle Entrate: ai fini degli obblighi fiscali del personale ex Legge 30

dicembre 1991, n. 413;

- MEF e INPDAP: per la corresponsione degli emolumenti connessi alla cessazione

dal servizio ex Legge 8 agosto 1995, n. 335;

- Presidenza del Consiglio dei Ministri per la rilevazione annuale dei permessi per

cariche sindacali e funzioni pubbliche elettive (art. 50, comma 3, d.lg. n. 165/2001).

- Ministero del Lavoro e delle Politiche Sociali: per lo svolgimento dei tentativi

obbligatori di conciliazione dinanzi a Collegi di conciliazione ex D.Lgs. 30 marzo

2001, n. 165;

- Organi arbitrali: per lo svolgimento delle procedure arbitrali ai sensi dei CCNL di

settore;

- Avvocature dello Stato: per la difesa erariale e consulenza presso gli organi di

giustizia;

- Magistrature ordinarie e amministrativo-contabile e Organi di polizia giudiziaria:

per l’esercizio dell’azione di giustizia; Liberi professionisti, ai fini di patrocinio o di

consulenza, compresi quelli di controparte per le finalità di corrispondenza sia in

fase giudiziale che stragiudiziale.

- USP, USR, MPI, Altre istituzioni scolastiche, Organi preposti agli accertamenti

idoneità impiego Banca che effettua il servizio di cassa

Pagina 35 di 81



di riferimento

(v. Tab. 2)




Id Trattamen

to


processo gestito

Interessati S G C

T5 Gestione Fiscale Personale x A1.2 A3.2 USP, MPI, Agenzia delle Entrate, Corte dei Conti, Enti

assistenziali, previdenziali e assicurativi, MEF, Banca che effettua il servizio di cassa

T6

Gestione Protocollo

Relativamente ai dati sensibili e

giudiziari: Tutte le schede

allegate al regolamento sul trattamento dei dati sensibili e

giudiziari

Alunni, Genitori, Fornitori,

Personale, Altre

amministrazioni

X x x A1.3

USP, USR, MPI, Altre istituzioni scolastiche, Ordinario Diocesano,

Organizzazioni Sindacali, Presidenza del Consiglio, INPDAP, INPS,

INAIL, AUSL, Altre Amministrazioni Pubbliche, Corte dei Conti, MEF,

Enti assistenziali, previdenziali e assicurativi, Organi preposti alla

vigilanza su igiene e sicurezza, Autorità di pubblica Sicurezza, Agenzia

delle Entrate, Organi preposti agli accertamenti idoneità impiego, Banca

che effettua il servizio di cassa

T7 Gestione Sicurezza

Personale amministr

ativo x A4 A3.2

MPI

T8 Backup e Restore

Banca dati Amministr

ativa x A4 A3.2

T9

Gestione Protocollo e

corrispondenza riservata

Relativamente ai dati sensibili e

giudiziari: Tutte le schede

allegate al regolamento sul trattamento dei dati sensibili e

giudiziari

Alunni, genitori,

personale x x x A3.1

USP, MPI, Altre istituzioni scolastiche, AUSL, Enti Locali, Gestori pubblici e privati dei servizi di assistenza, Istituti di assicurazione, INAIL, Aziende, imprese e altri soggetti pubblici o privati per tirocini formativi, stages e alternanza scuola lavoro, Avvocature dello Stato, Magistrature ordinarie e amministrativo-contabile, Organi preposti alla vigilanza su igiene e sicurezza, Autorità di pubblica Sicurezza, Organi di polizia giudiziaria, Liberi professionisti

Pagina 36 di 81



di riferimento

(v. Tab. 2)




Id Trattamen

to


processo gestito

Interessati S G C

T10 Gestione della

posta elettronica

Personale, utenti del servizio

scolastico, fornitori

x A1.1 A1.3

T11

Gestione Scioperi del Personale

dipendente Relativamente ai dati sensibili e

giudiziari : Scheda A – Selezione e

reclutamento a TI e TD e gestione del rapporto di

lavoro;

Personale x x A1.1 A1.3

https://websptnet.tesoro.it/SCIOPNET

T12 Gestione

Anagrafe delle prestazioni

Personale interno ed esterno, Fornitori

x

www.anagrafeprestazioni.it

T13 Invio documenti tramite Entratel

e DM10

Personale esterno e

della scuola

x A1.2 A3.2

Sito entratel

T14 Gestione Pre 96 Personale x A1.2 A3.2 Ragioneria Provinciale del Tesoro

T15 Gestione INPS Personale X x A1.2 A3.2 INPS

T16

Gestione con Suite Microsoft

Office comunicazione


x Tutte Tutte

Pagina 37 di 81



di riferimento

(v. Tab. 2)




Id Trattamen

to


processo gestito

Interessati S G C

T17

Gestione Dispostivi

dell’infrastruttura tecnologica


x A4

T18

Gestione Provvedimenti Disciplinari alunni Relativamente ai dati sensibili e giudiziari : Scheda B – Attività propedeutiche all’avvio dell’anno

scolastico; Scheda n. E – Attività educativa, didattica e formativa e di valutazione; Scheda n. F – Rapporti Scuola-Famiglie: gestione del contenzioso.

Genitori, Alunni,

Personale x x x A3.3 A1.3

Genitori, USP

a) agli Enti Locali per la fornitura dei servizi ai sensi del D. Lgsl. 31

marzo 1998, n. 112, limitatamente ai dati indispensabili

all’erogazione del servizio;

b) ai gestori pubblici e privati dei servizi di assistenza agli alunni e di

supporto all’attività scolastica, ai sensi delle leggi regionali sul

diritto allo studio, limitatamente ai dati indispensabili all’erogazione

del servizio;

c) alle AUSL e agli Enti Locali per il funzionamento dei Gruppi di

Lavoro Handicap di istituto e per la predisposizione e verifica del

Piano Educativo Individualizzato, ai sensi della Legge 5 febbraio

1992, n. 104;

T21 Contratti

prestazione Personale ed esterno

x A1.4 A1.3 – A1.2

INAIL, Ditte Esterne

T23 Gestione Archivio

cartaceo storico

Tutte le categorie

x x x A5

Pagina 38 di 81



di riferimento

(v. Tab. 2)




Id Trattamen

to


processo gestito

Interessati S G C

T24

Gestione Assistenza e

manutenzione hardware

Soggetti interni e terzi che

utilizzano i PC degli

uffici Amministr

ativi

X x x A4

T25 Gestione titolario Generale

x A1.3 USP, USR, MPI

T26

Gestione Riproduzione e

notifica documenti

Personale, Alunni, Genitori Fornitori

X x x A7

T28

Gestione Inventario e

Fornitori di beni e servizi

Ditte esterne

x A2.1 A3.1

Ditte esterne


Distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (regola 19.2 disciplinare tecnico)

Il titolare del trattamento ha designato, ai sensi dell’art.29 D.lgs

196/2003, con atto scritto contenente analitiche istruzioni relative ai compiti

affidati:

o il responsabile del trattamento dei dati nelle persone del dott.

Giuseppe Bennardo e dell’Ing. Calogero Patti

I responsabili del trattamento provvedono, sulla base della lettera di

designazione e delle disposizione dell’art. 30, ad individuare gli incaricati del

trattamento dei dati personali appartenenti ai profili professionali del

personale ATA; ha conferito agli stessi l’incarico con atto scritto contenente

puntuali istruzioni relative agli ambiti di trattamento consentiti, corredato da

linee guida e con allegate le schede relative al trattamento dei dati sensibili e

giudiziari.

Il titolare provvede ad individuare e incaricare il personale docente con

atto che fornisce le istruzioni necessarie.

I singoli incaricati, che hanno rilasciato ricevuta della avvenuta consegna

della lettera di incarico, sono stati informati che l’ambito dei trattamenti

autorizzati è suscettibile di aggiornamento periodico e che devono:

· trattare i dati comuni (non sensibili e giudiziari) per i soli fini istituzionali

della scuola;

· comunicare i dati comuni a terzi nei soli casi previsti da leggi o

regolamenti;

· trattare i dati sensibili e giudiziari nei soli casi previsti da norme di legge o

dal Regolamento MPI sul trattamento dei dati sensibili e giudiziari;


· comunicare i dati sensibili e giudiziari a terzi, se di competenza, nei soli

casi previsti da norme di legge o dal Regolamento MPI sul trattamento dei

dati sensibili e giudiziari;

· diffondere i dati sensibili e giudiziari a terzi, se di competenza, nei soli casi

previsti da norme di legge o dal Regolamento MPI sul trattamento dei dati

sensibili e giudiziari.

Agli incaricati è stato consegnata copia del Regolamento MPI sul trattamento

dei dati sensibili e giudiziari, adottato dall’Istituzione scolastica.

La comunicazione dei soggetti responsabili e incaricati è avvenuta attraverso

la pubblicazione all’albo della scuola dell’organigramma della scuola e delle

responsabilità.

A tutti gli incaricati del trattamento di dati mediante strumento elettronico

sono state conferite credenziali di autenticazioni (art.34, comma 1, lett.b

Codice privacy) mediante parola chiave, conformi alle caratteristiche indicate

nell’allegato B Codice privacy. Agli incaricati sono state fornite puntuali

indicazioni per la modifica della parola chiave.

Si riporta di seguito la distribuzione dei compiti e delle responsabilità

nell'ambito delle strutture preposte al trattamento dei dati (Tabella 2).

Tab. 2 - Distribuzione dei compiti e delle responsabilità – soggetti preposte ai trattamenti (regola 19.2, discip. tecnico)3

Id Strutt

ura

Struttura o soggetti incaricati (esempi)

Trattamenti effettuati (v. Tab. 1)

Descrizione dei compiti e delle responsabilità

A1.1 Ufficio Personale T3 – T10 – T11 · Uso applicativo Area amministrativa · Gestione dei documenti office · Accesso all’area riservata del sito Istruzione · Gervizio di gestione degli scioperi · Gestione, archiviazione, consultazione dei fascicoli personali dei

dipendenti · Gestione del software per la rilevazione delle presenze del personale · Gestione della posta elettronica

A1.2 Ufficio Contabilità T2 – T13 –T14 · Uso applicativo Area contabilità · Gestione dei documenti office · Accesso all’area riservata del sito Istruzione · Gestione della documentazione cartacea relativa al bilancio · Invio Documenti Entratel · Invio DMA

A1.3 Ufficio Protocollo T6 · Uso applicativo Area protocollo

· Gestione dei documenti office · Stampe registro protocollo · Smistamento e archiviazione corrispondenza

A2.1 Ufficio affari generali T28 · Gestione dei documenti office

· Tenuta Inventario beni · Rapporti con i fornitori · Gare e acquisti di beni e servizi

A2.2 Ufficio Didattica Alunni

T1 · Utilizzo dell’applicativo Area Alunni · Gestione dei documenti di office automation · Accesso all’area del sito www.istruzione.it · Accesso al servizio di denuncia infortuni · Consultazione e archiviazione dei fascicoli personali degli alunni


Id Strutt

ura

Struttura o soggetti incaricati (esempi)

Trattamenti effettuati (v. Tab. 1)

Descrizione dei compiti e delle responsabilità

A3.1 Ufficio Dirigente Scolastico

T22 -T9 · Gestione degli Organi collegiali · Gestione dell’offerta formativa · Gestione della sicurezza sul posto di lavoro D.lgs. 81/2008 · Gestione della protezione dei dati personali · Relazioni sindacali · Rapporti con gli enti · Gestione Protocollo Riservato

A3.2 Ufficio Direttore Servizi Generali e Amministrativi

T1-T2-T3-T4-T5-T6-T7

· Gestione del Bilancio · Coordinamento operazioni relative alle disposizioni sulla privacy · Gestione rapporti con il personale · Organizzazione del Lavoro ATA · Concessione credenziali accesso area riservata Istruzione.it

A3.3 Collaboratore del D.S. T18 · Gestione Provvedimenti disciplinari alunni · Rilevazione assenze alunni della scuola

A4 Amministratore di

Sistema T8 - T17 –T24 · Amministrazione del Server di sistema

· Amministrazione sistemi operativi dei clients in rete · Amministrazione e configurazione router per l’accesso ad internet · Gestione automazione del backup · Installazione su client e su HW della rete amministrativa di SW di

sicurezza antispywere e antivirus · Aggiornamento software e password

A5 Personale Docente T1 · Trattamento dati degli alunni a loro affidati

A6 Archivio T23 – T27 · Gestione e archiviazione Atti Amministrativi dell’Istituzione Scolastica

A7 Collaboratori scolastici

T26 · Fotocopiatura di documenti · Prelevamento e distribuzione fax · Notifica di documenti · Trasporto di documenti


IL SISTEMA INFORMATICO (DESCRIZIONE DELLE RETI)

Il Sistema Informatico della Scuola è costituito da una rete ubicata presso la

Sede, suddivisa in due sottoreti:

· sotto-rete amministrativa (uffici di segreteria);

· sotto-rete didattica (aula linguistica e di informatica);

Tutte le postazioni di lavoro sono costituite da personal computer con

microprocessori di varia potenza e hard disk di varia capacità, con sistemi

operativi Windows 98, 2000 e XP.

La reti sono collegate ad un server proxy e ad un firewall hardware.

Nella scuola sono presenti, inoltre, cattedre mobili e PC portatili per la

didattica.

Tutti i computers sono dotati di indirizzo IP statico in classe C. La connettività

internet avviene attraverso un router con indirizzo IP statico in classe A, con

Telecom come provider.

La connettività internet avviene attraverso lo stesso router della rete

amministrativa.

La protezione tra la rete esterna e quella di istituto è realizzata attraverso un

hardware firewall .


Tutti gli utenti della rete devono rispettare le norme previste nel documento

di policy di utilizzo della rete.

Tutti gli archivi saranno memorizzati sul server e settimanalmente si

provvederà ad effettuare copia di backup con conservazione dei supporti CD

nell’armadio blindato ubicato nell’ufficio del DSGA.

ELENCO DELLE BANCHE DATI E TRATTAMENTI

a. Banca dati Alunni :

dati sensibili: P.E.I., Profilo Diagnostico Funzionale, scelta religione, dati

nascita, documenti sanitari, riconoscimento di esonero, agevolazioni,

sanzioni, schede di valutazione;

supporto informatico: inserimento dati, lettura e stampa di dati, variazione

di dati, cancellazione di dati, certificati vari, gestione ARGO e INTRANET,

statistiche, trasmissione e-mail, Relazioni osservative, P.E.I., Profilo

Diagnostico Funzionale.

sistema di backup e frequenza: supporto CD tramite masterizzatore,

frequenza settimanale.

b. Banca dati Genitori:

dati sensibili: documenti sanitari, domande di buono libri, domande di

borse di studio, domande di contributi, separazioni, trattamenti cautelari;



di dati, cancellazione di dati, elaborazione elenchi per elezioni interne OO.CC,

gestione ARGO e INTRANET, statistiche, trasmissione e-mail

sistemi hardware che trattano l’archivio: server ARGO, computer rete

amministrativa compresi i computer laptop;


frequenza settimanale;

c. Banca dati Personale Direttivo :

dati sensibili: adesione a sindacati, documenti sanitari;


di dati, cancellazione di dati, rilascio certificati vari, gestione ARGO e

INTRANET, statistiche, trasmissione e-mail



d. Banca dati Personale Docente:

dati sensibili: adesione a sindacati, documenti sanitari, riconoscimento di

esonero, agevolazioni, sanzioni;



INTRANET, statistiche, trasmissione e-mail




e. Banca dati Personale ATA :

dati sensibili: adesione a sindacati, documenti sanitari, riconoscimento di

esonero, agevolazioni, sanzioni;



INTRANET, statistiche, trasmissione e-mail;



f. Banca dati Soggetti che sviluppano e prestano opera di

collaborazione con la scuola :







g. Banca dati Fornitori :








RISORSE

Le risorse da proteggere si possono suddividere in 4 categorie:

·

o ospitano banche dati, gli archivi)

· rver di rete, sistemi informatici su cui operano gli

incaricati, modem, router, dispositivi di backup)

· Risorse software.

ANALISI DEI RISCHI CHE INCOMBONO SUI DATI

La regola 19.3 del disciplinare tecnico prevede che il DPS contenga l'analisi

dei rischi che incombono sui dati. Nel presente DPS, pertanto, sono

descritti i principali eventi potenzialmente dannosi per la sicurezza dei dati,

con valutazioni in ordine alle possibili conseguenze e alla gravità in relazione

al contesto fisico–ambientale di riferimento e agli strumenti elettronici

utilizzati.


L’elenco degli eventi potenzialmente, individuato dal Garante, che

comportano rischi per la sicurezza dei dati personali, è il seguente:

1) comportamenti degli operatori:

· sottrazione di credenziali di autenticazione;

· carenza di consapevolezza, disattenzione o incuria, errore materiale;

· comportamenti sleali o fraudolenti;

2) eventi relativi agli strumenti:

· azione di virus informatici o di programmi suscettibili di recare danno,

spamming o tecniche di sabotaggio, malfunzionamento, indisponibilità o

degrado degli strumenti, accessi esterni non autorizzati, intercettazione

di informazioni in rete;

3) eventi relativi al contesto fisico-ambientale:

· ingressi non autorizzati a locali/aree ad accesso ristretto, sottrazione di

strumenti contenenti dati, eventi distruttivi, naturali o artificiali

(movimenti tellurici, scariche atmosferiche, incendi, allagamenti,

condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria,

guasto a sistemi complementari (impianto elettrico, climatizzazione,

ecc.), errori umani nella gestione della sicurezza fisica.

La ricognizione e l’analisi dei rischi, che potrebbero comportare una

distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine

dolosa, colposa, ovvero meramente fortuita, in grado di recare pregiudizio ai

dati personali trattati, è stata riportata nelle tabelle che seguono.

Tab. 3 – Analisi dei rischi (regola 19.3 del disciplinare tecnico)4

Id

Rischio Rischi Si/No

Descrizione dell’impatto sulla sicurezza (gravità:alta/media/bassa)

Co

mp

ort

am

en

to

deg

li o

pera

tori

R1 Sottrazione di credenziali di autenticazione. Si Alta

R2 Carenza di consapevolezza, disattenzione o incuria. Si Media

R3 Comportamenti sleali o fraudolenti. Si Bassa

R4 Errore materiale. Si Media

Even

ti r

ela

tivi

ag

li

str

um

en

ti

R5 Azione di virus informatici o di programmi suscettibili di recare danno.

Si Alta

R6 Spamming o tecniche di sabotaggio. Si Alta

R7 Malfunzionamento, indisponibilità o degrado degli strumenti. Si Media

R8 Accessi esterni non autorizzati. Si Media

R9 Intercettazione di informazioni in rete. Si Media

Even

ti r

ela

tivi

al

co

nte

sto

R10 Accessi non autorizzati a locali/reparti ad accesso ristretto. Si Bassa

R11 Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc,) nonché dolosi, accidentali o dovuti ad incuria.

Si Media

R12 Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.).

Si Media

R13 Errori umani nella gestione della sicurezza fisica. Si Media



Misure in essere e\o da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la

protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità (regola 19.4)

Misure generali (istruzioni impartite agli incaricati) Misure per l'integrità e la

disponibilità dei dati

· I singoli incaricati devono assicurare la segretezza della

componente riservata della credenziale e la diligente custodia

dei dispositivi in possesso ed uso loro esclusivo.

· Oltre alla custodia personale delle credenziali assegnate, copia

di esse deve essere depositata al protocollo riservato del

Dirigente Scolastico e nella cassaforte in gestione del D.S.G.A.

· Al termine della giornata lavorativa del venerdì, i singoli

incaricati. provvederanno a effettuare il salvataggio dei dati su

supporti movibili che verranno custoditi dal D.S.G.A.

Protezione delle aree e

dei locali finalizzati alla

custodia e accessibilità

dei dati

• Il trattamento di dati personali con strumenti elettronici è

consentito mediante credenziali di autenticazione (cioè

mediante un codice per l'identificazione associato a una

parola chiave riservata per ogni singolo incaricato e

conosciuta solamente dai singoli incaricati)

• I singoli incaricati devono adottare le necessarie cautele

per assicurare la segretezza della componente riservata

della credenziale e la diligente custodia dei dispositivi in

possesso ed uso loro esclusivo. In particolare, oltre alla

custodia personale delle credenziali assegnate, copia di

esse deve essere depositata al protocollo riservato del

Dirigente Scolastico e nella cassaforte in gestione

• Ogni 6 mesi i singoli incaricati modificheranno codice e

parola chiave delle credenziali garantendo i livelli di

segretezza dovuti

• In caso di trattamento di dati sensibili e di dati giudiziari la

parola chiave è modificata almeno ogni tre mesi • Durante la sessione di trattamento, lo strumento

elettronico non deve essere accessibile ad altri soggetti

estranei all'incarico assegnato

• I singoli incaricati sono tenuti al controllo ed alla

custodia, per l'intero ciclo necessario allo svolgimento

delle operazioni di trattamento, degli atti e dei documenti

contenenti dati personali situati negli 'apposito e riservati

arredi d'ufficio. A tal fine l'accesso agli archivi non deve

essere consentito ad altri soggetti estranei all'incarico

assegnato.

• Durante il trattamento per lo svolgimento dei relativi

compiti, i medesimi atti e documenti sono controllati e

custoditi dai singoli incaricati fino alla ricollocazione in

archivio in maniera che ad essi non accedano persone

prive di autorizzazione.

• L'accesso agli archivi contenenti dati sensibili deve essere

controllato. Non è ammesso l'accesso all'archivio a

persone, a qualunque titolo, dopo l'orario di chiusura

dell'ufficio


MISURE MINIME DI SICUREZZA

In questa parte del documento vengono descritte le misure adottate per

contrastare i rischi individuati a seguito dell’analisi effettuata e della

valutazione degli eventi. Per misura si intende, non solo lo specifico

intervento tecnico o organizzativo posto in essere per prevenire,

contrastare o ridurre gli effetti relativi a una specifica minaccia, ma anche

tutte quelle attività di verifica e controllo nel tempo, essenziali per

assicurarne l’efficacia.

Protezione di aree e locali Durante l’orario di apertura è in funzione un servizio di portineria, per

l’ingresso principale. L’accesso ai locali dove avviene il trattamento è

consentito al solo personale autorizzato tramite porte dotate di

serratura. L’edificio scolastico è provvisto di luci d’emergenza e dispositivi

antincendio : idranti, estintori in polvere ABC da Kg 6.00, estintori a C02 in

prossimità dei quadri elettrici. Tutti gli elaboratori hanno un sistema di

continuità dell’alimentazione elettrica.

Archiviazione e custodia di atti, documenti e supporti Tutti gli uffici sono attrezzati con armadi dotati di serrature e accessibili al

solo personale autorizzato, per l’archiviazione e custodia della


documentazione cartacea, organizzata in fascicoli. Gli uffici del D.S. e del

D.S.G.A. sono dotati di cassaforte per la custodia di atti e documenti di

particolare rilevanza.

Misure logiche di sicurezza Ogni utente è informato delle norme e delle procedure che regolano

l’utilizzo degli strumenti informatici.

Il personale tecnico preposto alle manutenzioni proveniente dall’esterno

può operare solo alla presenza del personale interno dei servizi

informatici. I server sono dotati di un sistema centrale di rilevazione dei

virus informatici, di accesso a internet e di condivisione di file all’interno della

rete dell’Istituto. L’aggiornamento avviene in un periodo non superiore ai 15

giorni.

Su ogni elaboratore è installato un sistema di rilevazione di virus

informatici che è aggiornato con una periodicità non superiore ai 7 giorni.

A ogni utente sono assegnati un codice identificativo e una

password personali; la password ha una validità di 3 mesi.

Il codice identificativo e la password abilitano all’accesso delle risorse di rete

e all’uso delle aree di lavoro sulla base delle autorizzazioni assegnate al

singolo utente o al gruppo di lavoro (profilo comune) a cui partecipa.

L’amministratore di sistema, dietro indicazione e mandato della dirigenza,

gestisce e vigila su codici identificativi e password assegnate agli utenti,


provvede alla disattivazione dei codici e delle password di utenti

cessati, disattiva i codici e le password smarrite o erroneamente

distribuite, ovvero divulgate ad altri utenti.

Le varie funzioni dell’Istituto utilizzano differenti software gestionali che

operano sulle basi di dati trattate dall’Istituto. Ogni software gestionale

consente il trattamento dei soli dati necessari e sufficienti allo

svolgimento delle attività dell’operatore.

Il personale docente, con accesso codificato e protetto da password

sul web, ha il permesso di assegnare le valutazioni agli studenti, sia

in corso d’anno (voti per prove scritte e orali) sia nei periodi di

valutazione intermedia e finale.

I fornitori non hanno accesso alle postazioni ed ai dati. È il responsabile della gestione e della sicurezza del sistema informatico, su

indicazione della dirigenza, che abilita gli utenti ad accedere a

internet, vigila sul traffico in ingresso e uscita e sugli accessi

procedendo all’eventuale disattivazione.

L’accesso è protetto da sistemi anti-intrusione a più livelli.

Per tutti gli elaboratori sono previste attività periodiche di

manutenzione per l’aggiornamento dei sistemi da parte dei produttori di

software e hardware.


Misure periodiche Il Dirigente Scolastico, in qualità di rappresentante legale

dell’Istituzione scolastica (Titolare al trattamento dei dati ai sensi dell’art. 4,

lettera f, del Codice) e il Responsabile del trattamento verificano il rispetto

delle istruzioni impartite agli incaricati e delle misure di sicurezza

adottate dalla scuola. Più in generale, si vigilerà affinché il trattamento

effettuato dalla scuola sia sempre compreso nelle sue finalità

istituzionali e, per nessuna ragione, prescinda da queste.

Vengono indicate, sinteticamente, le principali misure adottate nella

seguente tabella:

MISURA RISCHI

CONTRASTATI

TRATTAMENTI

INTERESSATI

ATTIV.NE STRUTTURA

Istruzioni agli

incaricati

Accessi non

autorizzati

Tutti Dal

30.3.2011

Responsabili

del trattamento

Incarichi di

responsabilità

Deresponsabil.ne Tutti Idem Idem

Formazione Accessi; visione

Virus;

Dati di alunni

e personale

dal

30.3.2011

Personale

Installazione

antivirus

Danneggiamento

dati informatici

Tutti dal

30.3.2011

DSGA,

Amministrati-

vi

Potenziamento

sicurezza

edifici(1)

Incendi ed

infiltrazioni

Tutti dal

30.3.2011

Dir. Scolastico

DSGA

Pers. ATA

Istituzione di

Password

Accesso ai dati

Informatici

Tutti dal

30.3.2011

Responsabili,

DSGA,

Amministrativi

Installazione

gruppi di

continuità(2)

Danneggiamento

banche dati

informatici

Tutti dal

30.3.2011

Responsabili

del trattamento


Circolari Diffusione di dati Alunni e famiglie dal

30.3.2011

Docenti e coll.

Scolastici

(1) trattasi di richieste di intervento da avanzare all’ente locale competente:

(2) eventualmente da richiedere all’ente locale competente.

Descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a

distruzione o danneggiamento (regola 19.5)

Backup

• Al termine della giornata lavorativa del venerdì, i singoli

incaricati [o l’Amministratore di sistema] provvederanno a

effettuare il backup dei dati su supporti movibili, tramite procedura

pianificata di backup attivata sui PC [evidenziare se presente anche

una procedura di backup automatica su server], che verranno

custoditi dal Responsabile [ovvero dall’incaricato se previsto dalla

lettera di incarico]

Ripristino • Il ripristino della disponibilità dei dati in seguito a distruzione o

danneggiamento avverrà mediante l'utilizzo degli appositi backup

Criteri e procedure per il salvataggio dei dati (regola 19.5 del disciplinare tecnico)

Salvataggio\Backup

Banca dati Criteri e procedure per

il Backup Luogo di custodia

delle copie

Struttura o soggetti incaricati

del salvataggio

SISSI\Server

Tramite applicativo automatizzato su server

Cassaforte conforme alle regole di sicurezza

I singoli incaricati [o

l’Amministratore di

Sistema]

Documenti di Office automation [Windows

Office o altri] su hard-disk dei PC

Copia archivi PC su supporto C-RW/DVD, tramite attività panificata


I singoli incaricati [o

l’Amministratore di

Sistema]

Documenti Posta elettronica su su hard-disk dei PC

Copia archivi PC su supporto C-RW/DVD, tramite attività panificata


I singoli incaricati [o l’Amministratore di

Sistema]

Criteri e procedure per il ripristino della disponibilità dei dati (regola 19.5 del disciplinare

tecnico)

Ripristino

Banca dati / archivio dati

Criteri e procedure per il salvataggio e il ripristino dei dati

Pianificazione delle prove di

ripristino


SISSI In caso di assenza\impossibilità dell’incaricato o dell’amm. di sistema, il DSGA o il DS autorizzano un altro incaricato per il ripristino entro sette giorni dalla perdita dei dati)

Quindicinale/mensile/..

Documenti di Office automation [Windows

Office o altri] su hard-disk dei PC

Tramite procedure di restore da supporto C-RW/DVD (in caso di assenza\impossibilità dell’incaricato o dell’amm. di sistema, il DSGA o il DS autorizzano un altro incaricato per il ripristino entro sette giorni dalla perdita dei dati)


Documenti Posta elettronica su su hard-disk dei PC

Tramite procedure di restore da supporto C-RW/DVD (in caso di assenza\impossibilità dell’incaricato o dell’amm. di sistema, il DSGA o il DS autorizzano un altro incaricato per il ripristino entro sette giorni dalla perdita dei dati)



Previsione di interventi formativi degli incaricati del trattamento (regola 19.6) Ai sensi della regola 19.6 dell’allegato B) del Codice della privacy (disciplinare

tecnico), sono pianificati i seguenti interventi formativi:

1. Entro settembre-ottobre di ogni anno: eventuale aggiornamento del

personale in caso di introduzione di nuovi significativi strumenti, rilevanti

rispetto al trattamento di dati personali, per renderli edotti sui rischi che

incombono sui dati, sulle misure disponibili per prevenire eventi dannosi,

sui profili della disciplina sulla protezione dei dati personali più rilevanti in

rapporto alle relative attività, sulle responsabilità che ne derivano, sulle

misure minime adottate dal titolare (min.: 2 ore di aggiornamento);

2. Entro settembre – ottobre di ogni anno: formazione per nuovi

assunti o in caso di cambiamento di mansioni, per renderli edotti sui

rischi che incombono sui dati, sulle misure disponibili per prevenire eventi

dannosi, sui profili della disciplina sulla protezione dei dati personali più

rilevanti in rapporto alle relative attività, sulle responsabilità che ne

derivano, sulle misure minime adottate dal titolare (min.: 4 ore di

formazione].


Cifratura dei dati o separazione dei dati sensibili da quelli identificativi (regola 19.8)

Criteri da adottare per la

cifratura o per la

separazione dei dati

sullo stato di salute dagli

altri dati personali

dell'interessato

Trasmissione dei dati personali limitatamente alle generalità

"cognome e nome" ovvero ai soli dati essenziali richiesti

specificamente trattati esclusivamente con lettere iniziali o con

codici sanitari previsti da protocolli

I dati personali trattati in database prevedono apposite schede che

estrapolino solo le generalità escludendo, se non necessari, altri dati

quali indirizzi, recapiti, scelte religiose.

Le certificazioni mediche sullo stato di salute o sulle situazioni di

handicap sono tenuti separati dagli altri dati, in busta chiusa

sigillata, riportante sul fronte il solo riferimento a codici da cui non è

possibile dedurre il contenuto.

Altri adempimenti relativi al DPS ai sensi del disciplinare tecnico

Ai sensi del punto 26 del disciplinare tecnico, l’aggiornamento del DPS è

indicato annualmente nella relazione accompagnatoria al bilancio che

riporterà l’avvenuta redazione o aggiornamento del predetto documento.

Ai sensi del punto 25 del disciplinare tecnico, in caso di adozione di misure

minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, il

Titolare riceve dall'installatore una descrizione scritta dell'intervento effettuato

che ne attesta la conformità alle disposizioni del disciplinare tecnico.

Criteri per il salvataggio dei dati (copie di sicurezza) Periodicamente verranno effettuate le copie di backup di tutti i dati posseduti

dalla scuola e verrà anche stabilito un piano settimanale di verifica della

correttezza ed immediata disponibilità delle copie di sicurezza effettuate.

Ciascun assistente amministrativo è responsabile dell’effettuazione delle copie

di backup del lavoro prodotto settimanalmente. Il coordinamento delle attività

di salvataggio delle copie è affidato all’ Amministratore di sistema.


Tutti i dati contenuti nei computer saranno settimanalmente memorizzati su

CD-Rom o Hard-Disk che vengono etichettati, con indicazione della data di

salvataggio. I CD-ROM o Hard-Disk vengono depositati nell’armadio blindato

A02 situato nella stanza del Direttore Amm.vo (S02).

INTERVENTI DI COLLABORATORI ESTERNI, ESPERTI E SPECIALISTI

Nel caso in cui l’Istituzione scolastica si dovesse avvalere, per l’attuazione di

interventi previsti dall’offerta formativa o dagli interventi miranti all’integrazione

dei soggetti diversamente abili, della collaborazione di terapisti, esperti e

specialisti, assistenti igienico-personali, è escluso, nei limiti del possibile,

l’accesso dei medesimi a documentazioni contenenti dati sensibili. In merito

alla possibilità di trattamento di dati personali particolari da parte dei suddetti

soggetti, è previsto che i medesimi dichiarino:

1. di essere consapevoli degli obblighi previsti dal D. L.vo 196/2003

2. di impegnarsi ad ottemperare all’obbligo di tutela dei dati personali

3. di adottare le istruzioni specifiche ricevute per la garanzia di sicurezza dei

dati


APPENDICE

SCHEDE DEL REGOLAMENTO DATI SENSIBILI E GIUDIZIARI – MIUR Decreto Ministeriale n. 305 del 7 Dicembre 2006;

SCHEDA A

La "scheda" individua tutti i dati che possono essere oggetto di trattamento per le procedure di selezione, di reclutamento, di instaurazione, di gestione e di cessazione del rapporto di lavoro (dati inerenti lo stato di salute, l'adesione a sindacati, quelli sulle convinzioni religiose per la concessione di permessi legati a particolari festività o per il reclutamento degli insegnanti di religione, i dati sulle convinzioni filosofiche o d'altro genere per eventuali connessioni con lo svolgimento del servizio di leva o come obiettore di coscienza, i dati di carattere giudiziario nell'ambito delle procedure concorsuali che coinvolgono l'interessato, le informazioni sulla vita sessuale connessi unicamente al caso eventuale della rettifica di attribuzione di sesso); sono individuate, inoltre, le varie tipologie di trattamento possibili.

Indicazione del trattamento e descrizione riassuntiva del contesto

Selezione e reclutamento a tempo indeterminato e determinato, e gestione del rapporto di lavoro:

— del personale dipendente dell’Amministrazione centrale e perifèrica del Ministero dell’istruzione, e dirigente, docente, educativo ed ATA delle istituzioni scolastiche ed educative, personale IRRE; — dei collaboratori esterni e dei soggetti che intrattengono altri rapporti di lavoro diversi da quello subordinato Il trattamento concerne tutti i dati relativi alle procedure per la selezione e il reclutamento,all’

instaurazione, alla gestione e alla cessazione del rapporto di lavoro.

1. I dati inerenti lo stato di salute sono trattati per: l’adozione di provvedimenti di stato giuridico ed economico, verifica dell’idoneità al servizio, assunzioni del personale appartenente alle c. d categorie protette, benefici previsti dalla normativa in tema di assunzioni, protezione della maternità, igiene e sicurezza sul luogo di lavoro, causa di servizio, equo indennizzo, onorificenze, svolgimento di pratiche assicurative, pensionistiche e previdenziali obbligatori e contrattuali, trattamenti assistenziali, riscatti e ricongiunzioni previdenziali, denunce dì infortuni e/o sinistri e malattie professionali, fruizione di assenze, particolari esenzioni o permessi lavorativi per il personale e provvidenze, collegati a

particolari condizioni di salute dell’ interessato o dei suoi familiari, assistenza fiscale,mobilità

territoriale, professionale e intercompartimentale; 2. I dati idonei a rilevare l’adesione a sindacati o ad organizzazioni di carattere sindacale per gli adempimenti connessi al versamento delle quote di iscrizione o all’esercizio dei diritti sindacali;


3. I dati sulle convinzioni religiose per la concessione di permessi per festività oggetto di specifica richiesta dell’interessato motivata per ragioni di appartenenza a determinate confessioni religiose. I dati sulle convinzioni religiose vengono in rilievo anche ai fini del reclutamento dei docenti di religione; 4. I dati sulle convinzioni filosofiche o d’altro genere possono venire in evidenza dalla documentazione connessa allo svolgimento del servizio di leva come obiettore di coscienza; 5. I dati di carattere giudiziario sono trattati nell’ambito delle procedure concorsuali al fine di valutare il possesso dei requisiti di ammissione e per l’ adozione dei provvedimenti amministrativo contabili connessi a vicende giudiziarie che coinvolgono l’interessato. 6. le informazioni sulla vita sessuale possono desumersi unicamente in caso di eventuale rettificazione di attribuzione di sesso.

E’ di seguito descritto sinteticamente il flusso informativo dei dati.

I dati sono raccolti su iniziativa degli interessati o previa richiesta dell’Ufficio presso i

medesimi interessati, ovvero presso altri soggetti pubblici o privati, e sono trattati, sia in forma

cartacea che telematica, per l’applicazione dei vari istituti disciplinati dalla legge e dai

regolamenti in materia di selezione, reclutamento, gestione giuridica, economica,

previdenziale, pensionistica, aggiornamento e formazione del personale.

Finalità di rilevante interesse pubblico perseguite

- ART. 112: “instaurazione e gestione da parte dei soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato” - ART. 62: “rilascio di documenti di riconoscimento”; - ART. 67: “attività di controllo e ispettive”;

- ART 68: “ applicazione della disciplina in materia di concessione, liquidazione, modifica e

revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;

- ART. 70: “applicazione della legge 8 luglio 1998 n. 230, e delle altre disposizioni di legge

in materia obiezione di coscienza”;

- ART. 72: rapporti con Enti di culto”.

- ART. 73: “supporto al collocamento e avviamento al lovoro.”.

Fonti normative

- Norme comuni: D.P.R. 10 gennaio 1957, n. 3; Legge 5 febbraio 1992, n. 104; Legge 12 marzo

1999, n. 68; D.Lgs. 30 marzo 2001, n. 165; Legge 15 luglio 2002, a. 145; R. D. 30 settembre

1922, n. 1290; Legge 24 maggio 1970, n. 336; Legge 30 dicembre 1971, n. 1204; D.P.R. 29

dicembre 1973, n. 1032; D.P.R. 29 dicembre 1973, n. 1092; Legge 7 Febbraio 1979, n. 29; Legge

5 marzo 1990, n. 45; D.Lgs. 30 dicembre 1992, n. 503; Legge 14 gennaio 1994, n. 20; Legge 8

agosto 1995, n. 335; D.P.R. 20 febbraio 1998, n. 38; Legge 12marzo 1999, n. 68; D.P.C.M. 20

dicembre 1999; Legge 8 marzo 2000, n. 53; D.P.R. 29 ottobre 2001, n. 461.


- Norme relative al personale amministrativo del Ministero dell’Istruzione: legge n. 472/1987;

Contratti Collettivi Nazionali e Contratti Integrativi del Comparto Ministeri e della separata area

della Dirigenza amministrativa.

- Norme per il personale delle istituzioni scolastiche: D.Lgs. 16 aprile 1994, n. 297; Legge 3

maggio 1999, n. 124; Legge 28 marzo 2003, n. 53; Legge 18 luglio 2003, n. 186; Decreto

Legislativo 19 febbraio 2004, n.59; Legge 6 giugno 2004, n. 143; Contratti Collettivi Nazionali e

Integrativi del Comparto Scuola e della separata area della Dirigenza scolastica, Legge 28

febbraio 1990, n.. 37; Legge 23 dicembre 1998 n. 448, art. 26, commi 8, 9 e 10; D.P.R. 6. marzo

2001, n.190; Legge 27 dicembre 2002, n. 289 art. 35; D.lgs. 17 ottobre 2005, n. 227;

- Norme per il personale IRR.E: D.P.R. 6 marzo 2001, n. 190.

Tipi di dati trattati

• CONVINZIONI |X| religiose | | filosofiche | | d’altro genere

• CONVINZIONI |X| sindacali

• STATO DI SALUTE |X| patologie attuali |X| patologie pregresse

|X| terapie in corso |X| dati sulla salute relativi anche ai

familiari

• VITA SESSUALE | | (solo in caso di rettificazione di attribuzione di sesso)

• DATI DI CARATTERE GIUDIZIARIO (art 4, comma 1, lett. e, del Codice) |X|

OPERAZIONI ESEGUITE

Particolari forme di trattamento

- Interconnessioni e raffronti di dati con altro titolare;

- Amministrazioni certificanti in sede di controllo delle dichiarazioni sostitutive rese ai fini del

DPR 445/2000;

- Servizi sanitari competenti per le visite fiscali e per l’accertamento dell’idoneità all’impiego; - Organi preposti al riconoscimento della causa di servizio/equo indennizzo, ai sensi del DPR 461/2001;

- Organi preposti alla vigilanza in materia di igiene e sicurezza sui luoghi di lavoro (d.lgs. n. 626/1994); - Enti assistenziali, previdenziali e assicurativi, autorità di pubblica sicurezza a fini assistenziali e previdenziali, nonché per la denuncia delle malattie professionali o infortuni sul lavoro del D.P.R. n. 1124/1965;

- Amministrazioni provinciali per il personale assunto obbligatoriamente ai sensi della L. 68/1999;


- Organizzazioni sindacali per gli adempimenti connessi al versamento delle quote di iscrizione e per la gestione dei permessi sindacali;

-Pubbliche Amministrazioni presso le quali vengono comandati i dipendenti, o assegnati nell’ambito della mobilità; - Ordinario Diocesano per il rilascio dell’idoneità all’insegnamento della Religione Cattolica ai Sensi dellaL. 18luglio 2003, n. 186; -Organi di controllo (Corte dei Conti e MEF): al fine del controllo di legittimità e annotazione

della spesa dei provvedimenti di stato giuridico ed economico del personale ex legge n.20/94 e D.P.R. 20 febbraio 1998, n.38;

- Agenzia delle Entrate: ai fini degli obblighi fiscali del personale ex legge 30 dicembre 1991, n. 413; MEF e INPDAP: per la corresponsione degli emolumenti connessi alla cessazione dal servizio ex Legge 8 agosto 1995, n. 335;

- Presidenza del Consiglio dei Ministri per la rilevazione annuale dei permessi per cariche sindacali e funzioni pubbliche elettive (art. 50, comma 3, d.lgs n. 165/2001)

Altre tipologie di trattamenti

• RACCOLTA: |X| presso gli interessati |X| presso terzi

• ELABORAZIONE: |X| in forma cartacea |X| con modalità informatizzate

Altre operazioni ordinarie:

registrazione, organizzazione, conservazione, consultazione, modificazione, selezione, estrazione,

utilizzo, blocco, cancellazione e distruzione.

SCHEDA B

La "scheda" individua il trattamento dei dati sensibili e giudiziari concernente tutte le attività relative alla difesa in giudizio del MPI e delle istituzioni scolastiche nel contenzioso del lavoro e amministrativo nonché quelle connesse alla gestione degli affari penali e civili.


Gestione del contenzioso e procedimenti discìplinari

Il trattamento dei dati sensibí1i e giudiziari concerne tutte le attività relative alla difesa in

giudizio del Ministero dell'istruzione e delle istituzioni scolastiche ed educative nel contenzioso

del lavoro e amministrativo nonché quelle connesse alla gestione degli affari pena1ì e civili.



- ART. 112: “instaurazione e gestione da parte dei soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato” - ART. 67: “attività di controllo e ispettive”;

- ART 68: “ applicazione della disciplina in materia di concessione, liquidazione, modifica e

revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;

- ART. 71: “attività sanzionatorie e di tutela”;

Fonti normative

- Norme comuni: Codice Civile; Codice Penale; Codice di Procedura Civile; Codice di Procedura

Penale; D.P.R. 10 gennaio 1957, n. 3; D.P.R. 24/11/1971, n. 1199; Legge 6/12/1971, n. 1034;

Legge 15/03/1997, n. 59; Legge 21/07/2000, n. 205; D.lgs. 28/08/2000, n. 274; Legge

27/03/2001, n. 97; D.lgs. 30/03/2001, n. 165; Accordi quadro.

- Norme relative al personale amministrativo del Ministero dell’Istruzione:

Contratti Collettivi Nazionali e Contratti Integrativi del Comparto Ministeri e della separata area

della Dirigenza amministrativa.

- Norme per il personale delle istituzioni scolastiche e degli IRRE: D.Lgs. 16 aprile 1994, n.

297; D.P.R. 6. marzo 2001, n.190; Contratti Collettivi Nazionali e Integrativi del Comparto

Scuola e della separata area della Dirigenza scolastica;


• ORIGINE |X| razziale | X | etnica

• CONVINZIONI |X| religiose |X| filosofiche |X| d’altro genere

• CONVINZIONI |X| politiche |X| sindacali

• STATO DI SALUTE |X| patologie attuali |X| patologie pregresse

|X| terapie in corso |X| dati sulla salute relativi anche ai

familiari

• VITA SESSUALE | X |



OPERAZIONI ESEGUITE


· Comunicazione con altri soggetti pubblici o privati:

- Ministero del Lavoro e delle Politiche Sociali: per lo svolgimento dei tentativi obbligatori di conciliazione dinanzi a Collegi di conciliazione ex D.lgs. 30/03/2001, n. 165; - Organi arbitrali: per lo svolgimento delle procedure arbitrali ai sensi dei CCNL di settore; - Avvocature dello Stato: per la difesa erariale e consulenza presso gli organi di giustizia; -Magistrature ordinarie e amministrativo-contabile e Organi di polizia giudiziaria: per l’esercizio dell’azione di giustizia;

- Liberi professionisti, ai fini di patrocinio o di consulenza, compresi quelli di controparte per le finalità di corrispondenza sia in fase giudiziale che stragiudiziale.





· registrazione, organizzazione, conservazione, consultazione, modificazione, selezione,

estrazione, utilizzo, blocco, cancellazione e distruzione.

SCHEDA C

La "scheda" individua il trattamento e la descrizione dei dati sensibili nello ambito degli organismi collegiali e delle commissioni istituzionali, organi rappresentativi sia del personale amministrativo e scolastico, sia degli studenti, che delle famiglie e delle associazioni sindacali. Il dato sensibile trattato è quello dell'appartenenza alle organizzazioni sindacali, con riferimento agli organismi o comitati che richiedano la partecipazione di rappresentanti delle organizzazioni sindacali.



Organismi Collegiali e Commissioni Istituzionali

Il trattamento dei dati sensibi1i è necessario per attivare gli organismi collegiali e le commissioni

istituzionali previsti dalle norme di organizzazione del Ministero Istruzione e dell’Ordinamento

Scolastico. Tali organi sono rappresentativi sia del personale amministrativo e scolastico, sia

degli studenti, delle famiglie e delle associazioni sindacali. Il dato sensibile trattato è quello

dell’appartenenza alle organizzazioni sindacali, con riferimento agli organismi o comitati che

richiedano la partecipazione di rappresentanti delle organizzazioni sindacali.


- ART. 65: “pubblicità dell’attività di organi”; - ART. 95: “dati sensibili e giudiziari relativi alle finalità di istruzione e di formazione in ambito scolastico, professionale, superiore o universitario”.

Fonti normative

- Norme comuni: D.Lgs. 16 aprile 1994, n. 297; Contratti Collettivi Nazionali e Integrativi

di Comparto.


• ORIGINE | | razziale | | etnica

• CONVINZIONI | | religiose | | filosofiche | | d’altro genere

• CONVINZIONI | | politiche |X| sindacali

• STATO DI SALUTE | | patologie attuali | | patologie pregresse

| | terapie in corso | | dati sulla salute relativi anche ai

familiari

• VITA SESSUALE | |









SCHEDA D

La "scheda" individua il trattamento di tutti i dati coinvolti nelle attività propedeutiche all'avvio dell'anno scolastico: si tratta dei dati forniti dagli alunni e dalle famiglie ai fini della frequenza dei corsi di studio di ogni ordine e grado re (è possibile, in tal caso, imbattersi in dati relativi alle origini razziali ed etniche, alle convinzioni religiose, allo stato di salute, alle vicende giudiziarie).


Attività propedeutiche all’avvio dell’anno scolastico I dati sono forniti dagli alunni e dalle famiglie ai fini della frequenza dei corsi di studio nelle

istituzioni scolastiche di ogni ordine e grado ivi compresi convitti, educandati e scuole speciali.

Nell’espletamento delle attività propedeutiche all’avvio dell’anno scolastico da parte delle

istituzioni scolastiche, possono essere trattati dati sensibili relativi:

alle origini razziali ed etniche, per favorire l’integrazione degli alunni con cittadinanza non

italiana;

alle convinzioni religiose, per garantire la libertà di credo religioso e per la fruizione

all’insegnamento della religione cattolica o delle attività alternative a tale insegnamento;

allo stato di salute, per assicurare l’erogazione del sostegno agli alunni disabili e per la

composizione delle classi;

alle vicende giudiziarie,per assicurare il diritto allo studio anche a soggetti sottoposti a regime di

detenzione; i dati giudiziari emergono anche nel caso in cui l’autorità giudiziaria abbia

predisposto un programma di protezione nei confronti dell’alunno nonché nei confronti degli

alunni che abbiano commesso reati.


Le finalità di cui agli artt. 68, 73, 86, 95 del D.lgs. 30giugno 2003, n. 196.


Fonti normative

Leggi regionali sul diritto allo studio ai sensi del D.P.R. 24/07/1977, n.616; Legge 25/03/1985,

n.121; Legge 5/02/1992, n. 104; D.lgs. 16/04/94,n.297; Legge 24/06/1997, n.196; D.lgs.

31/03/1998, n.112; D.P.R. 24/06/1998, n.249; D.P.R. 08/03/1999, n.275; D.P.R. 31/08/1999, n.

394; Legge 10/03/2000, n.62; Legge 28/03/2003, n. 53; D.lgs. 19/02/2004, n.59; D.lgs.

15/04/2005, n. 76; D.lgs. 17/10/2005, n.226.


• ORIGINE | X | razziale | X | etnica

• CONVINZIONI | X | religiose | | filosofiche | X | d’altro genere

• CONVINZIONI | | politiche | | sindacali

• STATO DI SALUTE | X | patologie attuali | X | patologie pregresse

| X | terapie in corso | X | dati sulla salute relativi anche ai

familiari

• VITA SESSUALE | |


OPERAZIONI ESEGUITE


· Comunicazione ai seguenti soggetti per le seguenti finalità:

- agli Enti Locali per la fornitura dei servizi ai sensi del D.lgs. 31/03/1998, n.112,

limitatamente ai dati indispensabili all’erogazione del servizio; - ai gestori pubblici e privati dei servizi di assistenza agli alunni e di supporto all’attività scolastica ai sensi delle leggi regionali sul diritto allo studio limitatamente ai dati indispensabili all’erogazione del servizio; - alle AUSL e agli Enti Locali per il funzionamento dei Gruppi di lavoro Handicap di Istituto e per la predisposizione e verifica del Piano Educativo Individualizzato, ai sensi della Legge 05/02/1992, n. 104.








SCHEDA E

La "scheda" attiene al rilevamento e alla trattazione di dati raccolti nell'ambito dell'attività

educativa, didattica e formativa e di valutazione (anche in tal caso possono rilevare i dati

sensibili relativi alle origini razziali ed etniche, alle convinzioni religiose, allo stato

di salute, ai dati giudiziari, alle convinzioni politiche - per la costituzione e il

funzionamento delle Consulte degli studenti).


Attività educativa, didattica, formativa, di valutazione Nell’espletamento delle attività educative, didattiche e formative, curricolari ed extracurricolari,

di valutazione ed orientamento, di scrutini ed esami, da parte delle Istituzioni scolastiche di ogni

ordine e grado, ivi compresi convitti, educandati e scuole speciali, possono essere trattati dati

sensibili relativi:

alle origini razziali ed etniche, per favorire l’integrazione degli alunni con cittadinanza non

italiana;

alle convinzioni religiose, per garantire la libertà di credo religioso;

allo stato di salute, per assicurare l’erogazione del servizio di refezione scolastica, del sostegno

agli alunni disabili, dell’insegnamento domiciliare ed ospedaliero nei confronti degli alunni affetti

da gravi patologie, per la partecipazione alle attività educative e didattiche programmate, a quelle

motorie e sportive, alle visite guidate e ai viaggi di istruzione;

ai dati giudiziari, per assicurare il diritto allo studio anche a soggetti sottoposti a regime di

detenzione;

alle convinzioni politiche, per la costituzione e il funzionamento delle Consulte e delle

Associazioni degli studenti e dei genitori.

I dati sensibili possono essere trattati per le operazioni di valutazione periodica e finale, per le

attività di orientamento e per la compilazione della certificazione delle competenze.



Le finalità di cui agli artt. 68, 73, 86, 95 del D.lgs. 30giugno 2003, n. 196.

Fonti normative

Leggi regionali sul diritto allo studio ai sensi del D.P.R. 24/07/1977, n.616; Legge 25/03/1985,

n.121; Legge 5/02/1992, n. 104; D.lgs. 16/04/94, n.297; D.P.R. 10/10/1986, n. 567; Legge

24/06/1997, n.196; D.lgs. 31/03/1998, n.112; D.P.R. 24/06/1998, n.249; D.P.R. 08/03/1999,

n.275; D.P.R. 31/08/1999, n. 394; Legge 10/03/2000, n.62; Legge 28/03/2003, n. 53; D.lgs.

19/02/2004, n.59; D.lgs. 15/04/2005, n. 76; D.lgs. 21/04/2005, n. 77; D.lgs. 17/10/2005, n.226;

D.P.R. 23/12/2005, n. 301.



• CONVINZIONI | X | religiose | X| filosofiche | X | d’altro genere

• CONVINZIONI | X | politiche | | sindacali



familiari



OPERAZIONI ESEGUITE


• Comunicazione ai seguenti soggetti per le seguenti finalità: a) Alle altre istituzioni scolastiche, statali e non statali, per la trasmissione della

documentazione attinente la carriera scolastica degli alunni, 1imitatamente ai dati indispensabili all’erogazione del servizio;

b) agli Enti Locali per la fornitura dei servizi ai sensi del D.lgs. 31 marzo 1998, n. 112, limitatamente ai dati indispensabili all’erogazione del servizio;

c) ai gestori pubblici e privati dei servizi di assistenza agli alunni e di supporto alla attività scolastica, ai sensi delle leggi regionali sul diritto allo studio, limitatamente ai dati indispensabili all’erogazione del servizio;

d) agli Istituti di assicurazione per denuncia di infortuni e per la connessa responsabilità civile;

e) all’INAIL per la denuncia di infortuni ex - D.P.R. 30 giugno 1965, n. 1124; f) alle AUSL e agli Enti Locali per il funzionamento dei gruppi di Lavoro di istituto


per l’Handicap e per la predisposizione e la verifica Piano Educativo Individuale, ai sensi della Legge 5 febbraio 1992, n. 104;

g) ad aziende, imprese e altri soggetti pubblici o privati per tirocini formativi, stages e alternanza scuola-lavoro, ai sensi della 24 giugno 1997, n. 196 e del D. Lgs. 21/04/2005, n. 77 e, facoltativamente, per attività di rilevante interesse sociale ed economico, limitatamente ai dati indispensabili all’erogazione del servizio.






estrazione, raffronto, utilizzo, blocco, cancellazione e distruzione.

SCHEDA F

La "scheda" individua i dati sensibili e giudiziari concernenti le attività connesse alla instaurazione di contenzioso (reclami, ricorsi, esposti, provvedimenti disciplinari etc.) con gli alunni e con le famiglie.


Rapporti scuola-famiglie: gestione del contenzioso Il trattamento di dati sensibili e giudiziari concerne tutte le attività connesse alla instaurazione di

contenzioso (reclami, ricorsi, esposti, provvedimenti di tipo disciplinare, ispezioni, citazioni,

denunce all’autorità giudiziaria, ecc.)con gli alunni e con le famiglie, e tutte le attività relative alla

difesa in giudizio delle istituzioni scolastiche di ogni ordine e grado, ivi compresi convitti,

educandati e scuole speciali.


Le finalità di cui agli artt. 67 e 71 del D.lgs. 30giugno 2003, n. 196.

Fonti normative


Codice Civile; Codice Penale; Codice di Procedura Civile; Codice di procedura Penale; D.P.R.

24/11/1971, n. 1199; D.lgs. 16/04/94, n.297; D.P.R. 24/06/1998, n.249; D.P.R. 08/03/1999,

n.275; Legge 28/03/2003, n. 53; D.lgs. 19/02/2004, n. 59; D.lgs. 21/04/2005, n. 76; D.lgs.

21/04/2005, n. 77; D.lgs. 17/10/2005, n.226.



• CONVINZIONI | X | religiose | X| filosofiche | X | d’altro genere

• CONVINZIONI | X | politiche | X | sindacali



familiari



OPERAZIONI ESEGUITE


• Comunicazione con altri soggetti pubblici e privati: a) Avvocature dello Stato, per la difesa erariale e consulenza presso gli organi di

giustizia; b) Magistrature ordinarie e amministrativo-contabile e Organi di polizia giudiziaria,

per l’esercizio dell’azione di giustizia; c) Liberi professionisti, ai fini di patrocinio o di consulenza compresi quelli di

controparte per le finalità di corrispondenza.








I. I. S. S. " F. RE CAPRIATA"

LICATA C.F.: 81000810846 - telefono (0922) Presidenza 891158 - Fax 891673; Segreteria 891227; fax

0922.893363

http://www.recapriata.it - E-Mail: [email protected]

-----------------------------------------------------------------------------------------------------------------

Prot. N.° ……………………… Licata lì,

Al DSGA

Agli Assistenti Amministrativi

Oggetto: nomina incaricati del trattamento di dati personali – unità organizzativa

“Segreteria”, ai sensi del D.Lgs 196/2003 (Codice della Privacy)

Il Titolare e il Responsabile del trattamento dei dati personali

Visto - il D.Lgs 196/2003 “Codice in materia di protezione dei dati personali”, che d’ora in poi, nel presente

documento sarà richiamato semplicemente come “Codice”

Premesso che

- ai sensi dell’art. 28 del Codice nel presente atto , Titolare dei dati personali trattati da parte di questo istituto è

l’Istituto stesso, di cui il Dirigente Scolastico è Legale Rappresentante pro-tempore;

- il Titolare ha applicato l’art. 29 del Codice, che consente la facoltà di nominare uno o più Responsabili di tutti o

parte dei trattamenti e che pertanto sono stati nominati il Dott. Giuseppe Bennardo e l’Ing. Calogero Patti

(Responsabili esterni) tel. 3663289250.

- l’art. 30 del Codice impone di nominare gli Incaricati del trattamento dei dati personali;

- l’art. 33 impone di adottare le misure di sicurezza disposte dal Codice e almeno le misure minime individuate

dall’allegato B del Codice stesso.

Considerato che

- occorre definire le misure minime di sicurezza per l’attività di ciascuna unità organizzativa nel trattamento di dati

personali e per l’esecuzione di procedimenti amministrativi e individuare gli Incaricati;

- la nomina a Incaricato non implica l’attribuzione di funzioni ulteriori rispetto a quelle già assegnate, bensì

soltanto ricevere un’autorizzazione a trattare dati personali e istruzioni sulle modalità cui attenersi nel

trattamento;

- l’articolazione organizzativa dell’Istituto è fondata su 5 unità : collaboratori del Dirigente Scolastico, personale

docente (compresi docenti esterni ufficialmente incaricati di esami o altre funzioni presso l’Istituto) , personale di

segreteria, personale ausiliario (Collaboratori scolastici) e membri (anche esterni alla scuola) degli Organi

Collegiali

determina

1) di designare l’unità organizzativa “segreteria” , comprendente i dipendenti aventi il profilo di Assistenti

Amministrativi quali Incaricati del trattamento dei dati personali di seguito elencati:

b) T2 – Gestione degli Alunni – Dati personali trattati dai sigg. BAGGIONE STELLA,

PISANO GIOVANNI, VITA GERLANDO

b) T3 - Amministrazione del Personale dipendente – Dati personali trattati dai sigg., FANARA

AGOSTINO, SICILIA PAOLA

c)T4 - Collaborazioni professionali – Dati personali trattati dal Geom. SAVARINO ANGELO E


DAL RAG. GUELI TOMMASO.

h) T5 - Acquisti e fornitori-– Dati personali trattati dal Geom. SAVARINO ANGELO E DAL RAG.

GUELI TOMMASO.

i) T6 – Contabilita’ (Gestione finanziaria e del bilancio)-– Dati personali trattati dal Rag. CAICO

VINCENZO.

j) T7 - Gestione Istituzionale e Protocollo-– Dati personali trattati dalla Sig.ra SICILIA PAOLA e,

in sua assenza, anche dagli altri Assistenti Amministrativi designati.

k) Il DSGA Sig. PERITORE GERLANDO viene incaricato di trattare tutti i dati personali presenti

in Segreteria e di coordinare tutte le attività di segreteria relative alla conservazione e tutela dei

dati personali.

2) di dare atto che ogni dipendente che cessa di far parte di questa unità organizzativa cessa automaticamente dalla

funzione di Incaricato, che ogni nuovo dipendente che entra a far parte di questa unità organizzativa assume

automaticamente la funzione di Incaricato, che in un determinato momento l’elenco degli incaricati appartenenti a

questa categoria corrisponde all’elenco dei dipendenti validamente in servizio che ne fanno parte.

3) Di autorizzare questa categoria di Incaricati a trattare tutti i dati personali con cui entrino comunque in contatto

nell’ambito dell’espletamento dell’attività di loro competenza o contenuti nelle banche dati, in archivi cartacei

anche frammentari, nelle memorie dei computers, negli archivi dell’intera scuola e dei dati personali comunque

raccolti.

4) Di autorizzare l’unità organizzativa “Segreteria” a trattare i dati sensibili e giudiziari con cui vengano a contatto

durante l’attività di loro competenza nell’ambito dell’Istituto.

5) Di indicare per l’unità organizzativa “Segreteria” quali misure di sicurezza da applicare tassativamente nel

trattamento dei dati personali in genere , nella gestione di banche dati cartacee, nell’utilizzo dei computers , nelle

comunicazioni anche elettroniche.

6) Fermi restando obblighi e responsabilità civili e penali dei dipendenti pubblici nell’ambito delle attività d’ufficio,

di disporre sotto vincolo disciplinare l’obbligo tassativo di attenersi alle suddette istruzioni per tutti i dipendenti

facenti parte dell’ all’unità organizzativa “Segreteria”.

7) Di mettere a disposizione copia del D.Lgs 196/2003 ed altri materiali informativi.

8) Di organizzare apposite riunioni esplicative e formative, se necessario.

9) Di mettere a disposizione, non appena redatto, il Documento Programmatico sulla Sicurezza dei dati personali.

10) Di consegnare, all’atto dell’assunzione in servizio, a ogni nuovo componente anche temporaneo dell’unità

organizzativa in oggetto copia della presente determina e i relativi allegati e di incaricare il DGSA di provvedere

affinché riceva un’adeguata formazione individuale.

11) Di impartire le seguenti Istruzioni Generali:

Gli Incaricati devono attenersi rigorosamente a tutte le regole dettate dal D.Lgs 196/2003 e in particolare

ai seguenti punti fondamentali:

L’obbligo di mantenere il dovuto riserbo in ordine alle informazioni delle quali si sia venuti a conoscenza nel corso

dell’incarico, deve permanere in ogni caso, anche quando sia venuto meno l’incarico stesso (art.326 del codice penale e

art. 28 della legge 241/90).

Ai sensi dell'art. 30 del Codice gli Incaricati del trattamento devono operare sotto la diretta autorità del

Titolare (o del Responsabile, se nominato) e devono elaborare i dati personali ai quali hanno accesso

attenendosi alle istruzioni impartite.

Finalità del trattamento: Ai sensi dell'art. 18 del Codice in materia di protezione dei dati personali, il

trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle

funzioni istituzionali.

Modalità di trattamento dei dati: Può essere effettuato manualmente, mediante strumenti informatici,

telematici o altri supporti. Ai sensi dell’art. 11 del Codice, il trattamento deve applicare il principio di

pertinenza e non eccedenza rispetto alle finalità del trattamento medesimo, pertanto è consentita l’acquisizione

dei soli dati personali strettamente indispensabili per adempiere alle finalità richieste dall’interessato. Ogni

acquisizione di dati dev’essere preceduta dall’apposita informativa all’Interessato di cui all’art. 13 e 22, avendo cura

nel caso di documenti ritenuti potenzialmente classificabili come sensibili o giudiziari di fare espresso riferimento alla

normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento.

I dati devono essere trattati in modo lecito e secondo correttezza, devono essere esatti ed aggiornati.

E’ vietata all’Incaricato qualsiasi forma di diffusione e comunicazione dei dati personali trattati che non sia

funzionale allo svolgimento dei compiti affidati.

Per il trattamento devono essere seguite le norme di legge in materia di tutela della riservatezza dei dati personali

e devono essere applicate le misure di protezione previste dal Titolare.


Categorie di soggetti ai quali i dati possono essere comunicati: Ai sensi dell'articolo 19 del Codice la

comunicazione da parte della scuola ad altri soggetti pubblici è ammessa quando è prevista da una norma di

legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa previa comunicazione al

Garante e attesa del diniego o del silenzio-assenso dopo 45 giorni. La comunicazione da parte della scuola a privati

o a enti pubblici economici e la diffusione sono ammesse unicamente quando sono previste da una norma di legge o di

regolamento.

Modalità di trattamento dei dati sensibili/giudiziari: Ferma restando l’applicazione delle disposizioni vigenti in

materia di trattamento dei dati sensibili e giudiziari e delle istruzioni impartite dal Titolare e dal Responsabile del

trattamento, i documenti (anche tuttora in lavorazione e non definitivi) ed i supporti recanti dati sensibili o

giudiziari devono essere conservati in elementi di arredo muniti di serratura e non devono essere lasciati incustoditi

in assenza dell’incaricato.

Trattamenti di dati inerenti la salute: i supporti ed i documenti recanti dati relativi alla salute e alle abitudini sessuali

devono essere conservati separatamente in contenitori muniti di serratura.

Il Titolare della privacy

(Prof. Arch. Sergio Coniglio)

_________________________

Per notifica e accettazione

Il DSGA Sig. PERITORE GERLANDO ____________________________________

L’Incaricato sig.ra BAGGIONE STELLA_____________________________________

L’Incaricato sig. FANARA AGOSTINO____________________________________

L’Incaricato sig. PISANO GIOVANNI _____________________________________

L’Incaricato sig. VITA GERLANDO_________________________________

L’Incaricato sig. SAVARINO ANGELO _____________________________________

L’Incaricato sig. RAG. GUELI TOMMASO__________________________________

L’Incaricato sig. CAICO VINCENZO _______________________________________

L’Incaricato sig.ra SICILIA PAOLA _______________________________


ISTRUZIONI AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI

DSGA e Ass. Amministrativi

Al fine di agevolare i lavori inerenti all’applicazione della normativa

relativa al trattamento dei dati personali, ai sensi degli artt. 33, 34, 35 del D.

Lgs. 30 giugno 2003 n. 196, si impartiscono le istruzioni alle quali il funzionario

incaricato del trattamento dei dati del personale della scuola e delle ditte e/o

collaboratori esterni, siano essi soggetti singoli o enti e associazioni, deve

attenersi:

Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali con strumenti elettronici è consentito

mediante credenziali di autenticazione, cioè mediante un codice per

l'identificazione associato a una parola chiave riservata conosciuta solamente

dalla S.V.

2. La S.V. è tenuta ad adottare le necessarie cautele per assicurare la

segretezza della componente riservata della credenziale e la diligente custodia

dei dispositivi in possesso ed uso Suo esclusivo. In particolare, oltre alla

custodia personale delle credenziali assegnate, copia di esse deve essere

depositata al custode delle password. 3. Ogni 3 mesi modificherà codice e

parola chiave delle credenziali garantendo i livelli di segretezza dovuti, con la

collaborazione dell’Amministratore di sistema.


4. Durante la sessione di trattamento, lo strumento elettronico non deve

essere accessibile ad altri soggetti estranei all'incarico assegnatoLe

5. Al termine della giornata lavorativa del sabato, la S.V. provvederà a

effettuare il salvataggio dei dati.

Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici) 1 - La S.V. è tenuta al controllo ed alla custodia, per l'intero ciclo necessario

allo svolgimento delle operazioni di trattamento, degli atti e dei documenti

contenenti dati del personale della scuola e dei collaboratori esterni situati negli

appositi e riservati arredi d'ufficio. A tal fine l'accesso agli archivi e/o agli

armadi metallici di sicurezza non deve essere consentito ad altri soggetti

estranei all'incarico assegnatoLe.

2 - Durante il trattamento per lo svolgimento dei relativi compiti, i medesimi

atti e documenti sono controllati e custoditi dalla S.V. fino alla ricollocazione in

archivio e/o in armadio in maniera che ad essi non accedano persone prive di

autorizzazione.

3 - Non è ammesso l'accesso all'archivio a persone, a qualunque titolo, dopo

l'orario di chiusura dell'ufficio.

Gli ambiti di trattamento dei dati personali e sensibili degli operatori della

scuola e dei collaboratori/ditte esterni sono così individuati:

- assunzione e cessazione dal servizio;

- aggiornamento dei dati personali;


- acquisizione e rilascio di certificazioni, attestati, diagnosi, denunce, atti interni

e esterni;

- concessione di contributi, finanziamenti, elargizioni ed altri benefici previsti

dalla legge, dai regolamenti o dalla normativa comunitaria, anche in favore di

associazioni, fondazioni ed enti;

- riconoscimento di esoneri, agevolazioni o riduzioni tariffarie o economiche,

franchigie, o al rilascio di concessioni;

- sanzioni amministrative e ricorsi;

- riconoscimento della causa di servizio o dell'equo indennizzo, nonché ad

obblighi retributivi, fiscali o contabili, relativamente al personale in servizio o in

quiescenza, ivi compresa la corresponsione di premi e benefici assistenziali;

- anagrafe dei pubblici dipendenti e applicazione della normativa in materia di

assunzione di incarichi da parte di dipendenti pubblici, collaboratori e

consulenti;

- applicazione della normativa in materia di incompatibilità e rapporti di lavoro

a tempo parziale

- comunicazioni generiche

- comunicazioni con enti e istituzioni

Per una coerente applicazione della legge, si riporta quanto disposto dall'art. 20

(Principi applicabili al trattamento di dati sensibili) del D.Lgs. 196/2003:


"1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito

solo se autorizzato da espressa disposizione di legge nella quale sono

specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le

finalità di rilevante interesse pubblico perseguite.

2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante

interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il

trattamento è consentito solo in riferimento ai tipi di dati e di operazioni

identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento,

in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei

principi di cui all'articolo 22, con atto di natura regolamentare adottato in

conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1,

lettera g), anche su schemi tipo."

Per opportuna conoscenza, si richiama la definizione che l'art. 4 del D. Lgs

196/2003 dà al termine di "dato sensibile": i dati personali idonei a rivelare

l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere,

le opinioni politiche, l'adesione a partiti, sindacati, associazioni od

organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati

personali idonei a rivelare lo stato di salute e la vita sessuale.

Alla luce della definizione di cui sopra, sono da intendersi "dati sensibili":

- i certificati medici, riportanti la patologia, relativi allo stato di salute del

personale;


- i dati relativi ai soggetti portatori di handicap;

- dati relative a situazioni particolari familiari ( separazioni; trattamenti

cautelari, etc.)

- provvedimenti amministrativi di carattere disciplinare;

Per ciò che attiene tali ambiti, il trattamento dei dati deve prevedere forme

inintelliggibili di scrittura e di comunicazione.

I dati sensibili saranno conservati, negli appositi armadi metallici di

sicurezza, in buste chiuse e controfirmate dagli incaricati del trattamento e

saranno aperti su richiesta motivata a cura del titolare o dei responsabili del

trattamento dei dati personali.

DICHIARAZIONE DI IMPEGNO

Il Dirigente Scolastico - titolare del trattamento dei dati - si impegna ad

adottare, con la consulenza del responsabile del trattamento ai sensi del

d.lgs 196/2003, nella fase di graduale attuazione degli interventi previsti

dalla normativa sulla tutela della privacy, ogni possibile misura destinata a

salvaguardare la sicurezza dei dati personali, siano essi contenuti nei

documenti cartacei che registrati mediante strumenti elettronici. Tali misure

riguarderanno gli aspetti organizzativi, logistici e procedurali miranti ad evitare

con ogni mezzo qualsiasi incremento di rischi di distruzione o perdita, anche


accidentale, dei dati oggetto di trattamento, di accesso non autorizzato o di

trattamento non consentito.

OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS Il presente documento programmatico sulla sicurezza è sottoposto a revisione

annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno,

come previsto dalla regola 19 del Disciplinare tecnico di cui all’allegato B) al

D.Lgs. 196/03, in relazione al disposto dell’art. 34, lettera g) del decreto stesso.

N.B. Si considerano parte integrante del presente DPS : il regolamento dei dati sensibili

e giudiziari, le nomine degli incaricati e del responsabile, le informative relative al

personale ai genitori, agli esperti esterni, ai fornitori etc… depositati agli atti di

segreteria.

Il Responsabile della privacy Il Titolare

(Dott. Giuseppe Bennardo) Dirigente Scolastico

(Prof. Arch. Sergio Coniglio)

________________________ ________________________

26.03.2015 Prot. n.° 1137/ C 52...2 e 21 comma 2 del citato Decreto Legislativo e all'analisi dei...

Documents

Transcript of 26.03.2015 Prot. n.° 1137/ C 52...2 e 21 comma 2 del citato Decreto Legislativo e all'analisi dei...